"MYDOOM"变种Q(Worm.Mydoom.q)病毒分析报告

您的位置：首页 > 病毒专栏 > 病毒档案 > 正文

"MYDOOM"变种Q(Worm.Mydoom.q)病毒分析报告

2004年08月17日 13:57　金山毒霸信息安全网　

　　8月16日，金山毒霸反病毒实验室应急处理中心率先截获一蠕虫病毒，发现其行为和“MYDOOM”极为相似，因此命名为“MYDOOM变种Q（Worm.Mydoom.q）。根据金山毒霸监测网的跟踪，该病毒在日、韩已有大量发作，并已经传入国内，大量的邮件服务器已经收到该病毒发送的大量病毒邮件。为此，金山毒霸为防止该病毒更大面积的传播，于本日发布该病毒的“三级危险”警报，请各位用户严防该病毒的侵害。以下是金山毒霸对该病毒分析报告：

　　病毒信息：

　　病毒名称: Worm.Mydoom.q
　　中文名称: “MYDOOM”
　　威胁级别: 3C
　　病毒别名: I-Worm.Mydoom.q [AVP]
　　　　　　　 WORM_RATOS.A [趋势]
　　病毒类型: 蠕虫
　　受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003

　　破坏方式：

　　大量发送病毒邮件，浪费网络和系统资源；大量病毒垃圾邮件可能造成中小型邮件服务器极不稳定
　　，甚致崩溃的现象；
　　自动从网络中下载后门木马，并立即执行。

　　发作现象:
　　
　　通过以下注册表键值函获得，SMTP地址
　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
　　 "SMTP Email Address"

　　 HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
　　 "SMTP Email Address"
　　在如下后缀名文件中搜索邮件地址
　　 .htm .sht .php .asp .dbx .tbb .adb .wab .pl

　　如果搜索的邮件地址含有以下字符
　　 "syma"
　　 "icrosof"
　　 "msn."
　　 "hotmail"
　　 "panda"
　　 "sopho"
　　 "borlan"
　　 "inpris"
　　 "example"
　　"mydomai"
　　 "nodomai"
　　 "ruslis"
　　 ".gov"
　　 "gov."
　　 ".mil"
　　 "foo."
　　 "unix"
　　 "math"
　　 "bsd"
　　 "mit.e"
　　 "gnu"
　　 "fsf."
　　 "ibm.com"
　　 "google"
　　 "kernel"
　　 "linux"
　　 "fido"
　　 "usenet"
　　 "iana"
　　 "ietf"
　　 "rfc-ed"
　　 "sendmail"
　　 "arin."
　　 "ripe."
　　 "isi.e"
　　 "isc.o"
　　 "secur"
　　 "acketst"
　　 "pgp"
　　 "tanford.e"
　　 "utgers.ed"
　　 "mozilla"
　　 "icrosoft"
　　 "support"
　　 "ntivi"
　　 "unix"
　　 "bsd"
　　 "linux"
　　 "listserv"
　　 "certific"
　　 "google"
　　 "accoun"
　　 "abuse"
　　 "upport"
　　 "www"
　　则不发送给该地址

　　邮件发信人，为如下之一：
　　 "alex"
　　 "michael"
　　 "james"
　　 "mike"
　　 "kevin"
　　 "david"
　　 "george"
　　 "sam"
　　 "andrew"
　　 "jose"
　　 "leo"
　　 "maria"
　　 "jim"
　　 "brian"
　　 "serg"
　　 "mary"
　　 "ray"
　　 "tom"
　　 "peter"
　　 "robert"
　　 "bob"
　　 "jane"
　　 "joe"
　　 "dan"
　　 "dave"
　　 "matt"
　　 "steve"
　　 "smith"
　　 "stan"
　　 "bill"
　　 "bob"
　　 "jack"
　　 "fred"
　　 "ted"
　　 "adam"
　　 "brent"
　　 "alice"
　　 "anna"
　　 "brenda"
　　 "claudia"
　　 "debby"
　　 "helen"
　　 "jerry"
　　 "jimmy"
　　 "julie"
　　 "linda"
　　 "sandra"

　　发件域名为如下之一：
　　 t-online.de
　　 mail.com
　　 yahoo.com
　　 hotmail.com
　　从HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager读到的域名

　　邮件主题为： photos
　　邮件内容为: LOL!;))))
　　病毒附件名: photos_arc.exe

　　 2004年8月20日21点后自动停止运行

　　技术特点：（点击查看详情）

　解决方案:

　　· 请使用金山毒霸2004年8月16日的病毒库可完全处理该病毒；

　　· 企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭；　

　　· 开启金山毒霸病毒防火墙可防止病毒入侵。
　　
　　安全建议：
　
　　 · 建立良好的安全习惯。对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网、不
　　　　要执行从 Internet 下载后未经杀毒处理软件处理的文件，这样才能确保您的计算机更安全；

　　 · 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，这些服务
　　　　为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能
　　　　性；
　
　　 · 经常升级安全补丁。大多数网络病毒是通过系统安全漏洞进行传播的，像蠕虫王、冲击波、震
　　　　荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，防患于未然；

　　 · 使用复杂的密码保护。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复
　　　　杂的密码，将会大大提高计算机的安全系数；

　　 ·　迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到
　　　　更多的感染，或者成为传播源，再次感染其它计算机；
　
　　 · 用户还应该安装个人防火墙软件进行防黑。由于网络的发展，用户电脑面临的黑客攻击问题也
　　　　越来越严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个
　　　　人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。