9月8日病毒

发布时间：2004.09.08 09:43 来源：赛迪网作者：冠群金辰

病毒名
Win32.Mydoom.T

别名
I-Worm.MyDoom.r (Kaspersky), W32.Mydoom.R@mm (Symantec), W32/Mydoom.S@mm (F-Secure), Win32/Mydoom.T.Worm, W32/Mydoom.t@MM (McAfee), Win32/Mydoom.U

种类
Win32
类型
蠕虫
传播性
低
破坏性
高
普及度
高

病毒特征
Win32.Mydoom.T是通过邮件传播的蠕虫病毒。病毒是大小为37,888字节的UPX Win32可执行文件，它可能包含在一个压缩文件中。

检测/清除
KILL安全胄甲inoculateIT v23.66.39 vet 11.x/8568 版可检测/清除此病毒。

感染方式
首次运行时，它把自己拷贝到：
%System%\tasker.exe
病毒会移动下列注册键值确保每次系统运行时有病毒副本运行：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Task = "%System%\tasker.exe"
如果失败，病毒可能设法添加相同的注册键值到HKEY_CURRENT_USERS：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Task = "%System%\tasker.exe"
病毒也会生成下列文件文件：
%System%\Nemog.dll
这个文件是大小为8,192字节的后门程序。病毒有下列自己的注册键值：
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32\(default) = "%System%\Nemog.dll"
首次执行病毒时，它会生成名为%Temp%\Message的文件并且以记事本形式记录下来。文件包括随机字符。

病毒创建互斥体"EnD-Of-SkyNet"，利用互斥体确保只有一个互斥体在运行。
蠕虫也会创建两个被用作识别最先在循环机器上运行的注册键值：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

传播方式
通过邮件传播
病毒以邮件附件的形式发送自己，邮件有可变的题目和内容。附件名和扩展名是随机的。发信人地址是'spoofed'。
例如题目包括下列：
test；hi；hello；Mail Delivery System；Mail Transaction Failed；Server Report；Status；Error；document；RE:test；RE:my .....
邮件内容包括下列：
test
(Norton Anti Virus : No Virusses Found , Check The Attachment For More Information.
Check the attachment for more information!.
your attachment , thx.
here is what you need,thx.
the attachment for more information.
(Norton ANti Virus,Panda,Mcafee No Virusses Found).
you can check the attachment for more information.
error to send the mail!!!!!.
error, check the attachment for more information.
failed,check the attachment for more information.
hello :)
loooooool ;)))
come back my friend.
check the attachment to get the lastest news.
check.
failed to send the email!, check the attachment for more information.
Try Later, Check the Attachment.
!!!!!!!!!!!, check the attachment!!!.
hello.
hello check the attachment thx.
error , sorry we can't send the email so check the attachment.
sorry we can't send the mail try later , check the attachment for more information.
Mail transaction failed. Partial message is available.

附件名包括下列：
document；readme；doc；text；file；data；test；message；body；Information；Msg；Error
附件的扩展名通常是随机的，附件扩展名包含.bat, .cmd, .pif, .exe和.scr。病毒可以以压缩文件的形式发送自己。在压缩文件中，文件可能由.htm, .txt, 或.doc,两个扩展名。例如："document.txt .pif".
Mydoom.T蠕虫通过搜索本地机器上文件来获得发送自己的邮件地址。它搜索的文件有下列扩展名：
.htm；.sht；.php；.asp；.dbx；.tbb；.adb；.pl；.wab
它忽略包含下列的邮件地址：
accoun；google；certific；listserv；ntivi；support；icrosoft；admin；page；the.bat；gold-certs；ca；feste；submit；not；help；service；privacy；somebody；no；soft；contact；site；rating；bugs；me；you；your；someone；anyone；nothing；nobody；noone；webmaster；postmaster；samples；info；root；mozilla；utgers.ed；tanford.e；pgp；acketst；isc.o；isi.e；kernel；ibm.com；fsf.；gnu；ruslis；nodomai；mydomai；spam；spm
病毒可以根据系统随机生成邮件地址，用户名包含下列：
sandra；linda；julie；jimmy；jerry；helen；debby；claudia；brenda；anna；alice；brent；adam；ted；fred；jack；bill；stan；smith；steve；matt；dave；dan；joe；jane；bob；robert；peter；tom；ray；mary；serg；brian；jim；maria；leo；jose；andrew；sam；george；david；kevin；mike；james；michael；alex；john
被病毒感染的邮件样本：

点对点文件共享
Mydoom.T可以找到Kazaa缺省共享目录，如果成功，会阅读注册键值：
HKCU\Software\Kazaa\Transfer\DlDir0

病毒拷贝自己到下列文件名的目录中：
Fixtool；Vaho；SeX；cleaner；mirc；Wenrar；kazz；Winzip；crack；Upload；Vahos；netsky；mydoom；SoBig；klez；yahoo hacker；Hotmail hacker；ps2 emulator；xbox；emulator；XXX Videos；XXX Pictures；Viraus
每个文件名都有扩展名.bat, .pif, .scr 或 .exe。

危害
后门功能
The Mydoom.T DLL伪装成一个 SOCKS代理，并通过受感染的系统来改变网络传输。实际上，它支持在危险的系统下允许其它程序执行和下载的后门命令。
病毒打开TCP5422端口。如果不能成功的打开TCP5422端口，它尝试打开5423端口，最后它会尝试打开5424端口。
拒绝服务
如果病毒在2004年11月1日2：00：25以后运行，但是在2004年12月1日之前它会尝试执行拒绝访问www.microsoft.com .它会向TCP80端口发送HTTP请求。

(T101)

[ 发表评论 ] 字体[ 大、中、小 ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ] [ 推荐给朋友 ]

【相关文章】

·	病毒监测周报(8.28-9.3)	(09-08)	·	谨防“漏波”病毒变种能反攻600种安全软件	(09-06)
·	荷兰一项研究显示：禽流感病毒能感染猫	(09-06)	·	八月病毒与网络钓鱼报告	(09-06)
·	病毒预报(9.6-9.12)	(09-05)	·	偷拍电影网站藏"木马"	(09-03)
·	最新"恶鹰变种AN"目前已入侵国内	(09-03)	·	9月2日病毒	(09-02)
·	新的蠕虫使用IM去引诱受害者	(09-02)	·	8月份十大恶意病毒威胁排行榜	(09-02)

【客户需求反馈表】

姓　　名:

更多资料　了解方案　认识厂商

单位名称:

联系电话:

电子邮件:

赛迪推荐

·	无线路由器导购液晶电视导购商务笔记本导购
·	策划:2007搜索市场转折年现场:第四届网商大会
·	现场报道"3G在中国"峰会中秋电信资费优惠精选
·	戴尔力挺AMD 真芯可鉴,四核无双真龙一族上线
·	网络安全周报:防火墙,路由器安全差异存储周刊
·	企业如何深化应用ERP? CIO如何应对"失宠"局面
·	"IT技术百家讲坛"成功! 现场解读:如何防御黑客?

手机·资费

·新品·导购·评测·手机资费·宽带

手机搜索

诺基亚

N73

MOTO

[新品] 首款"Facebook"社交手机摩托鸡尾酒手机
[导购] 白菜价PPC手机推荐市售不到2K级好机一览
[评测] 索爱导航G705实测魅族M8内测真机照泄漏
[行情] 诺基亚N73冰点价1390 三星W579大降459元
[资讯] 2008年最囧最雷人山寨手机TOP10火热出炉

IT产品

·笔记本·台式机·服务器·打印·投影

IT产品搜索

·十大最美最炫MP3·没有防火墙系统可能安全吗？

·ReadyBoost全方位介绍 ·笔记本壁纸精选下载

·2007年上半年安全报告对比 ·数码存储市场调查

[热销] 联想T60 戴尔1501 华硕A8H 宏基As4710G

[推荐] 联想F40A 戴尔530MT 惠普g3028 三星R70

[热评] 苹果macbook 联想T43 戴尔640m 华硕VX2

[降价] 戴尔1435 曙光I620r 惠普DL380 明基S73

[新品] 联想T61 戴尔1420 多普达D600 宏基4920G

IT技术

·开发·网管·安全·数据库·操作系统

[开发论坛][网管论坛][安全论坛][数据库论坛]

[操作系统论坛][Sybase专区][IBM dW技术专区]

[病毒求助][病毒与漏洞播报][文档·源码下载]

·	安全专家眼里的主动防御查找电脑系统安全漏洞
·	Java掌握JDK1.5枚举类型 JAVA中反射机制详解
·	网络安全中的误区路由器CE1/PRI接口配置命令
·	为添加的硬盘做配额 Java虚拟Linux文件路径
·	SQL Server数据库链接使用掌握是层次模型
·	黑客何时回归“性本善” Doomsday远程漏洞

信息化

·热点·专题·访谈·周刊·方案案例

[政务][电信][金融][农业][制造业][中小企业]

[CIO][ERP][协同][IT管理][中间件][电子商务]

[政策][地方][专家][评估][辞典][博客][社区]

·	专题:一路畅通构想曲——让出行不再遭遇堵车
·	CIO工作亲历:企业ERP选型不能忽视"选人关"
·	综述：信息化建设给中国监狱带来的各种变化
·	金融业风险管理和法规遵从有五点需考虑的因素
·	保险业CIO关注:该如何建立统一高效的CRM体系
·	调查显示：多数CIO对IT规划仍存在困惑和误解

博客·论坛

·曾剑秋·项立刚·Java学习·网管

·	阿拉木斯：互联网进入木马经济挑战网络法制
·	游云庭：法网恢恢熊猫烧香案暴露的法律漏洞
·	刘兴亮：从陈永正辞职看职业经理人的走与留
·	易观国际：国产手机厂试水游戏时机尚未成熟
·	王彬：丧失成熟稳健的谷歌视频搜索疲于赶场
·	石榴亭：帮你解答 Java中的值传递与引用

·	【IT技术社区】下载 LinkProof成功案例分类
·	Sybase技术专区注册、发帖手机大奖等你拿
·	安全社区大型活动“Web威胁侠客行”正在上演