恶性蠕虫-诺维格(novarg/mydoom)分析报告

ReadyGo!技术成就梦想 网上整理 efish 2007-4-13 16:44:09

病毒名称: worm.novarg.a
中文名称: 诺维格
威胁级别: 4a
病毒别名:w32/mydoom@mm
　　　　　worm_mimail.r
　　　　　w32.novarg.a@mm
受影响系统: win9x/nt/2k/xp/2003

　　反病毒实验室应急处理中心于当日在国内率先截获4a级恶性蠕虫病毒“诺维格”(worm.novarg.a)，该蠕虫病毒利用自带的smtp引擎来发送病毒邮件，利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行dos攻击，造成系统和网络资源的严重浪费。
请立即升级金山毒霸病毒库到2004年1月27日的版本，即可完全处理该病毒。

技术特征：

1、创建如下文件：
%system%shimgapi.dll
%temp%message， 这个文件由随机字母通组成。
%system%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。
（注：%system%为系统目录，对于win9x系统，目录为windows\system。对于nt及以上系统为winnt\system32或windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

2、shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的tcp端口进行监听；

3、添加如下注册表项：
hkey_current_user\software\microsft\windows\currentversion\run
taskmon = %system%\taskmon.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
taskmon = %system%\taskmon.exe
使病毒可随机启动；
添加如下注册表项：
hkey_local_machine\software\microsoft\windows\currentversion\explorer\comdlg32\version
hkey_current_user\software\microsoft\windows\currentversion\explorer\comdlg32\version
用于存储病毒的活动信息。

4、对www.sco.com实施拒绝服务（dos)攻击, 创建64个线程发送get请求，这个dos攻击将从2004年2月1延续到2004年2月12日；

5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

6、使用病毒自身的smtp引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；

7、邮件内容如下：
from: 可能是一个欺骗性的地址
主题:
test
hi
hello
mail delivery system
mail transaction failed
server report
status
error

正文:
mail transaction failed. partial message is available.
the message contains unicode characters and has been sent as a binary attachment.
the message cannot be represented in 7-bit ascii encoding and has been sent as a binary attachment.

附件名称:
document
readme
doc
text
file
data
test
message
body

可能的后缀:
pif
scr
exe
cmd
bat
zip

8、拷贝自己到kazaa的共享目录下，伪装成如下文件，后缀可能为(pif\scr\bat)，欺骗其它kazaa用户下载，达到传播的目的：
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitxp
office_crack
nuke2004

解决方案:
1>升级毒霸病毒库到最新, 进行全盘查杀即可.
2>手工清除:
　<1>终止恶意程序:
　打开windows任务管理器.
　在windows95/98/me系统中, 按ctrl+alt+delete
　在windows nt/2000/xp 系统中, 按ctrl+shift+esc, 然后点击进程选项卡.
　在运行程序列表中, 找到进程: taskmon.exe
　选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本).
　为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
　关掉任务管理器.
　*注意: 在运行windows95/98/me的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.

　<2>删除注册表中的自启动项目:
　从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
　打开注册表编辑器: 点击开始>运行, 输入regedit, 按enter
　在左边的面板中, 双击:
　hkey_current_user>software>microsft>windows>currentversion>run
　hkey_local_machine>software>microsoft>windows>currentversion>run
　在右边的面板中, 找到并删除如下项目:
　taskmon = %system%\taskmon.exe
　*注意: %system%是windows的系统文件夹, 在windows 95, 98, 和me系统中通常是 c:\windows\system, 在windowsnt和2000系统中是:winnt\system32, 在windows xp系统中是c:\windows\system32.
　*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.

　<3>删除注册表中的其他恶意项目
　如下是删除注册表中其他恶意项目的说明.
　仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入"comdlg32", 点击查找下一个.
　当像如下键值出现时, 删除键值和数据:
　hkey_local_machine\software\microsoft\windows\currentversion\explorer
　\comdlg32\version
　hkey_current_user\software\microsoft\windows\currentversion\explorer
　\comdlg32\version
　关闭注册表编辑器.

,

责任编辑: efish 参与评论 查找更多： ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题ftp原因故障网络升级局域网服务器mail解决问题

2秒记住本站域名

玩过泡泡龙吗？Readygo?Go! 再加上.Com.Cn的后缀，那就是大名小顶的ReadyGo.com.cn

分类导航