| |
病毒分析:W32.Mydoom.AF@mm蠕虫 |
出处:PConline |
|
| [ 2004-10-18 09:57:48
] |
作者:伯狼 编译
|
责任编辑:liyalin |
该病毒是一个大规模邮寄的蠕虫病毒,使用的是它自带的SMTP引擎将自身发送到被感染系统中找到的所有邮件地址,该病毒同时包含后门功能,以允许未经授权的远程访问来访问受感染的计算机。 病毒邮件的标题名称及附件名称随时变化,附件的后缀为.cpl .pif 或者 .scr。 该病毒使用UPX加壳。 其他命名:Win32.Mydoom.AD [Computer Associates], W32/Mydoom.ae@MM [McAfee], I-Worm.Mydoom.aa [Kaspersky]
病毒类型:蠕虫
病毒长度:51,712字节
受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:低
破坏指数:中
感染能力:高 该病毒执行时: 1,创建一个名为“My-Game”的互斥实例以确保它自身可以在任何时间正常运行 2,将自身拷贝为:%System%\avpr.exe 注意:%Windir%文件夹:Windows 95/98/Me系统中默认为:C:\Windows,Windows NT/2000系统中默认为:C:\Winnt,Windows XP系统中为:C:\Windows 3,创建如下文件: ·%System%\TCP5424.DLL(该文件用来响应病毒的后门组件)
·%System%\msg15.txt 4,在如下注册表项: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 添加如下键值: "Avpr" = "%System%\avpr.exe" 以确保Windows启动时病毒运行 5,在如下注册表项: HKEY_CLASSES_ROOT\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 添加如下键值: "(Default)"="%System%\TCP5424.dll" 以确保Explorer.exe加载TCP5424.DLL 6,在如下注册项: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 删除如下键值: ·ICQ Net
·MSsnMsgr 7,将如下内容添加到%System%\drivers\etc\hosts文件,以防止访问某些安全相关的站点: 127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
|
各地今日报价
