诺维格变种(Mydoom.b)分析及解决

1888888

病毒名称: Worm.Novarg.b
　　中文名称: 诺维格变种
　　威胁级别: 3A
　　病毒别名: SCO炸弹变种 [瑞星]
　　　　　　　W32/Mydoom.b@MM [McAfee]
　　　　　　　WORM_MYDOOM.B [Trend]
　　　　　　　W32.Mydoom.b@mm [Symantec]
　　受影响系统: Win9x/NT/2K/XP/2003

　　“诺维格”变种B（又名：SCO炸弹，英文又名:Mydoom.b）使用和原版病毒相同的传播机制，但更恶毒的是该病毒攻击的目标开始转向微软，在向SCO发起DoS(拒绝服务)攻击的同时也向微软的官方网站发起相同的攻击。另外，此次变种还加入了对单机用户的影响，它屏蔽了许多知名反病毒厂商、网络安全厂商的官方网站地址和升级地址，造成一些单机用户的反病毒软件和网络防火墙不能正常升级。

　　技术特点

　　A.创建如下文件：
　　%System%\Ctfmon.dll
　　%Temp%\Message:这个文件由随机字母通组成。
　　%System%\Explorer.exe
　　（注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

　　B.添加如下注册表项：
　　HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
　　"Explorer" = "%System%\Explorer.exe"

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　"Explorer" = "%System%\Explorer.exe"

　　HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
　　\InProcServer32
　　%默认% = "%System%\ctfmon.dll"
　　以便病毒可随机自启动；

　　C.%System%\Ctfmon.dll的功能是一个代{过}{滤}理服务器，开启后门；

　　D、病毒在如下后缀的文件中搜索电子邮件地址：
　　.htm
　　.sht
　　.php
　　.asp
　　.dbx
　　.tbb
　　.adb
　　.pl
　　.wab
　　.txt

　　E、使用病毒自身的SMTP引擎发送邮件，他优先选择下面的域名服务器发送邮件，如果失败，则使用本地的邮件服务器发送。
　　gate.
　　ns.
　　relay.
　　mail1.
　　mxs.
　　mx1.
　　smtp.
　　mail.
　　mx.
　　用“系统退信”的方式传播，使人防不胜防；

　　F、可能的邮件内容如下：
　　From: 可能是一个欺骗性的地址
　　主题:
　　Returned mail
　　Delivery Error
　　Status
　　Server Report
　　Mail Transaction Failed
　　Mail Delivery System
　　hello
　　hi

　　正文:
　　sendmail daemon reported:
　　Error #804 occured during SMTP session. Partial message has been received.
　　Mail transaction failed. Partial message is available.
　　The message contains Unicode characters and has been sent as a binary attachment.
　　The message contains MIME-encoded graphics and has been sent as a binary attachment.
　　The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

　　附件可能有双缀,如果有双后缀,则第一个可能的后缀如下:
　　.htm
　　.txt
　　.doc

　　第二个后缀可能如下:
　　.pif
　　.scr
　　.exe
　　.cmd
　　.bat
　　.zip
　　如果附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标

　　G.复制自身到Kazaa共享目录中，诱使其它KaZaa用户下载病毒。病毒复本的文件名如下:
　　icq2004-final
　　Xsharez_scanner
　　BlackIce_Firewall_Enterpriseactivation_crack
　　ZapSetup_40_148
　　MS04-01_hotfix
　　Winamp5
　　AttackXP-1.26
　　NessusScan_pro
　　扩展名可能如下:
　　.pif
　　.scr
　　.bat
　　.exe

　　H.修改系统hosts文件,屏蔽用户对以下网站的访问，造成不能升级反病毒等安全类软件:
　　ad.doubleclick.net
　　ad.fastclick.net
　　ads.fastclick.net
　　ar.atwola.com
　　atdmt.com
　　avp.ch
　　avp.com
　　avp.ru
　　awaps.net
　　banner.fastclick.net
　　banners.fastclick.net
　　ca.com
　　click.atdmt.com
　　clicks.atdmt.com
　　dispatch.mcafee.com
　　download.mcafee.com
　　download.microsoft.com
　　downloads.microsoft.com
　　engine.awaps.net
　　fastclick.net
　　f-secure.com
　　ftp.f-secure.com
　　ftp.sophos.com
　　go.microsoft.com
　　liveupdate.symantec.com
　　mast.mcafee.com
　　mcafee.com
　　media.fastclick.net
　　msdn.microsoft.com
　　my-etrust.com
　　nai.com
　　networkassociates.com
　　office.microsoft.com
　　phx.corporate-ir.net
　　secure.nai.com
　　securityresponse.symantec.com
　　service1.symantec.com
　　sophos.com
　　spd.atdmt.com
　　support.microsoft.com
　　symantec.com
　　update.symantec.com
　　updates.symantec.com
　　us.mcafee.com
　　vil.nai.com
　　viruslist.ru
　　windowsupdate.microsoft.com
　　www.avp.ch
　　www.avp.com
　　www.avp.ru
　　www.awaps.net
　　www.ca.com
　　www.fastclick.net
　　www.f-secure.com
　　www.kaspersky.ru
　　www.mcafee.com
　　www.microsoft.com
　　www.my-etrust.com
　　www.nai.com
　　www.networkassociates.com
　　www.sophos.com
　　www.symantec.com
　　www.trendmicro.com
　　www.viruslist.ru
　　www3.ca.com

　　I.从2004年2月1号开始开启多个线程对www.sco.com发动DOS攻击,从2月3日起对www.microsoft.com发起DOS攻击,直到2004年3月1日结束.

　　解决方案：

　　1、请升级您的金山毒霸到2004年1月30日的病毒库，并打开病毒防火墙和邮件防火墙来阻止病毒邮件的入侵；

　　2、如果收到系统退信时，请不要打开退信中的附件；

　　3、不要打开陌生人邮件；

　　4、改变文件的查看方式，让文件显示完整的扩展名，使病毒无处藏身。病毒常用后缀为：.bat, .cmd, .exe, .pif, .scr，.zip。
打开显示完整扩展名的方法：
　　A、打开资源管理器，单击“工具”，再单击“文件夹选项”

B、选择“查看”标签项

C、找到“隐藏已知文件类型的扩展名”，取消前面的“勾”

D、点击“确定”即可。

终结：最后用杀毒软件清除。


大家就给点辛苦费吧，不用白不用！！！

ZVesper

一看就不是什么正经变种

无为无敌

谢谢分享

A-zhu

谢谢分享

zhanglyt

我怎么感觉是抄袭呢？感觉在卡饭看到过