找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 1499|回复: 12

恶性蠕虫Novarg(诺维格)紧急通告 [转帖]

[复制链接]
发表于 2004-2-2 00:00:00 | 显示全部楼层 |阅读模式
恶性蠕虫\"Mydoom/Novarg (诺维格)\"紧急通告

    截至到28日早晨,新型电脑病毒“Mydoom”(又名“Novarg”)在从出现至今的短短36个小时内已经在互联网上发出了约1亿封含有这种病毒的电子邮件,刷新了此前由“大无极”病毒创下的扩散速度记录,成为迄今为止最大规模的一次电脑病毒暴发。

    这种病毒的攻击对象是装有微软视窗操作系统的电脑。这种病毒一般隐藏在电子邮件附件中,当用户打开邮件附件时,病毒便发作,受病毒感染的电脑会在30秒内向用户邮箱通讯录中储存的电子邮件地址发送含有病毒的邮件。当成千上万封这种病毒邮件在网上传输时,会造成互联网通信堵塞。

    安络科技建议用户立即升级毒霸病毒库到最新, 进行全盘查杀即可。


技术特征:

病毒名称: Worm.Novarg.a
中文名称: 诺维格
病毒别名:W32/Mydoom@MM [McAfee]
     WORM_MIMAIL.R [Trend]
     W32.Novarg.A@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003

1、创建如下文件:
%System%shimgapi.dll
%temp%Message, 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。
(注:%system%为系统目录,对于Win9x系统,目录为windows\\system。对于NT及以上系统为Winnt\\system32或Windows\\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)
2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;

3、添加如下注册表项:
HKEY_CURRENT_USER\\Software\\Microsft\\Windows\\CurrentVersion\\Run
TaskMon = %System%\\taskmon.exe
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
TaskMon = %System%\\taskmon.exe
使病毒可随机启动;
添加如下注册表项:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
用于存储病毒的活动信息。

4、对www.sco.com实施拒绝服务(DoS)攻击, 创建64个线程发送GET请求,这个DoS攻击将从2004年2月1延续到2004年2月12日;

5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;

7、邮件内容如下:
From: 可能是一个欺骗性的地址
主题:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附件名称:
document
readme
doc
text
file
data
test
message
body
可能的后缀:
pif
scr
exe
cmd
bat
zip

8、拷贝自己到KaZaA的共享目录下,伪装成如下文件,后缀可能为(pif\\scr\\bat),欺骗其它KaZaA用户下载,达到传播的目的:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

解决方案:
1>升级毒霸病毒库到最新, 进行全盘查杀即可.
2>手工清除:
 <1>终止恶意程序:
 打开windows任务管理器.
 在windows95/98/ME系统中, 按CTRL+ALT+DELETE
 在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
 在运行程序列表中, 找到进程: taskmon.exe
 选择恶意程序进程, 然后点击结束任务或结束进程按钮(取决于windows的版本).
 为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
 关掉任务管理器.
 *注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.
 <2>删除注册表中的自启动项目:
 从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter
 在左边的面板中, 双击:
 HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
 HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
 在右边的面板中, 找到并删除如下项目:
 TaskMon = %System%\\taskmon.exe
 *注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\\Windows\\System, 在WindowsNT和2000系统中是:WINNT\\System32, 在Windows XP系统中是C:\\Windows\\System32.
 *注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.
 <3>删除注册表中的其他恶意项目
 如下是删除注册表中其他恶意项目的说明.
 仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入\"ComDlg32\", 点击查找下一个.
 当像如下键值出现时, 删除键值和数据:
 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
 关闭注册表编辑器.

(2004年1月31日)








[此贴子已经被作者于2004-2-2 18:16:57编辑过]
回复

使用道具 举报

阿不 该用户已被删除
发表于 2004-2-2 00:00:00 | 显示全部楼层
多谢多谢!现在立刻去升级!
回复

使用道具 举报

 楼主| 发表于 2004-2-2 00:00:00 | 显示全部楼层

[下载] Symantec W32.Novarg.A@mm 病毒专杀工具

下载:
1.    本论坛下载<font color=red><b> 打开附件 </b></font>
2.    Symantec公司下载


[B]管理员邮箱每天收到不下50个此类病毒邮件,看来坛子上中招的朋友不少。请立刻升级您的病毒库或者用本工具扫描一下![/B]
回复

使用道具 举报

发表于 2004-2-2 00:00:00 | 显示全部楼层
谢谢提醒,这几天确实遇到此类病毒,一定要提高警惕!
回复

使用道具 举报

发表于 2004-2-3 00:00:00 | 显示全部楼层
谢谢管理员的提醒。
回复

使用道具 举报

发表于 2004-2-3 00:00:00 | 显示全部楼层
病毒太可怕了
回复

使用道具 举报

发表于 2004-2-3 00:00:00 | 显示全部楼层
谢谢提醒!下载专杀工具查了一遍,还好,没有中招!!!
回复

使用道具 举报

发表于 2004-2-3 00:00:00 | 显示全部楼层
瑞星16.11.21版可以查杀,我刚清除了一个,现在最新版是16.12.01
回复

使用道具 举报

发表于 2004-2-5 00:00:00 | 显示全部楼层
谢谢,楼主辛苦了
回复

使用道具 举报

tttt12345678 该用户已被删除
发表于 2004-2-7 00:00:00 | 显示全部楼层
感谢,
这回不用得病了.
回复

使用道具 举报

发表于 2004-2-7 00:00:00 | 显示全部楼层
多谢多谢!现在立刻去升级!
回复

使用道具 举报

advanceyou 该用户已被删除
发表于 2004-2-16 00:00:00 | 显示全部楼层
态恐怖了@@@@@@@@@@@@@@22
回复

使用道具 举报

i00544 该用户已被删除
发表于 2004-4-10 00:00:00 | 显示全部楼层
我的是kv 应该没有问题吧?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-17 01:31 , Processed in 0.204431 second(s), 19 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表