我国发现Worm_Mydoom.F病毒

 
    国家计算机病毒应急处理中心通过对互联网的监测,于2004年2月24日发现异常的病毒的邮件,经分析证实该病毒为Worm_Mydoom.F。
    该病毒通过邮件传播的蠕虫病毒。病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。当病毒运行时,会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能,会在 TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口,给系统安全带来隐患。病毒还会扩展名为.mdb、.doc、.xls、.sav、.jpg、.avi、.bmp的文件,并在每个月的17到22号之间时,发起对网站www.riaa.com 和www.microsoft.com 进行DOS攻击。病毒具有破坏性。
   
    有关病毒的的技术文档如下:   
    

病毒名称:Worm_Mydoom.F

病毒别名:I-Worm.Mydoom.e (Kaspersky)

W32/Mydoom.f@MM(McAfee)

Win32/Mydoom.F.Worm, Worm_Mydoom.F (Trend)

SCO炸弹变种D”病毒(瑞星)

Mydoom.F病毒(金山)

病毒长度:34,568字节

病毒类型:蠕虫

影响系统:Win 95/98/NT/2000/Me/XP/Server 2003

病毒特征:

Worm_Mydoom.F是一种通过邮件传播的蠕虫病毒。病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。当病毒运行时,会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能,会 TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口,给系统安全带来隐患。病毒还会扩展名为.mdb、.doc、.xls、.sav、.jpg、.avi、.bmp的文件,并在每个月的17到22号之间时,发起对网站www.riaa.comwww.microsoft.com进行DOS攻击。

    病毒发作后有可能显示一个对话框或者启动记事本。信息可能包括:

"File cannot be opened"

"File is corrupted"

"Unable to open specified file" 

1、 生成病毒文件

病毒会拷贝自己到系统目录%windows%下(Windows 2000下为:C:\Winnt,Windows XP下为C:\Windows),文件名是随机产生的。

病毒在多个文件夹下生成病毒文件,病毒文件的文件名为随机生成的4 到 13 个小写字母组成,扩展名为 .exe。病毒还在多个文件夹下使用随机的文件名创建 .zip 存档文件。

%System% 文件夹中创建 .dll 文件,病毒文件的文件名为随机生成的4 到8个小写字母组成,并在 .dll 文件结尾附加随机生成的数据。 

(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32 )

2、 修改注册表项

病毒会添加注册表项,使得自身能够在系统启动时自动运行,在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run 下添加

 “<4到8个随机的小写字母>" = "%System%\<生成的病毒的文件名>”

3、后门功能

病毒具有后门功能,病毒运行后, TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口。通过打开 TCP 端口 1080,病毒在受感染系统中设置后门程序,这样一来,就给攻击者制造了可乘之机,它们可以连接到受感染得计算机,并使用该计算机作为代理以访问其网络资源。

4、 删除文件

病毒在驱动器 C 到 Z 上搜索具有下列扩展名的文件,并任意删除搜索到的文件:

.mdb

.doc

.xls

.sav

.jpg

.avi

.bmp

 

5、通过电子邮件进行传播

该蠕虫使用自带的SMTP进行传播。
    病毒发送的带毒电子邮件格式如下:

主题:(下列之一)

"Announcement"

"Re: Thank you"

"Thank you"

"Re: Details"

"Details"

"Re: Approved"

"Approved"

"hi, it's me"

"Thank You very very much"

"You use illegal File Sharing..."

"Your IP was logged"

"Your account is about to be expired"

"Love is"

"Love is..."

"Undeliverable message"

"Re: <censored>"

"Your order was registered"

"Your request was registered"

"Your order is being processed"

"Your request is being processed"

"Current Status"

"read now!"

"forget"

"bug"

"unknown"

"fake"

"Wanted"

"recent news"

"news"

"stolen"

"Attention"

"Accident"

"Schedule"

"Your credit card"

"Read it immediately!"

"Read this"

"Read it immediately"

"Something for you"

"For you"

"For your information"

"Information"

"Warning"

"You have 1 day left"

"automatic notification"

"automatic responder"

"Notification"

"Expired account"

"Your account has expired"

"Important"

"Readme"

"Read this message"

"please read"

"please reply"

"Registration confirmation"

"Confirmation"

"Confirmation Required"

"Returned Mail"

"hello"

"hi

 

内容:(下列之一)

"You are bad"

"Take it"

"Reply"

"Please, reply"

"Information about you"

"Greetings"

"See you"

"Here it is"

"We have received this document from your e-mail."

"Kill the writer of this document!"

"Something about you"

"I have your password :)"

"You are a bad writer"

"Is that yours?"

"Is that from you?"

"I wait for your reply."

"Here is the document."

"Read the details."

"I'm waiting"

"Okay"

"OK"

"Everything ok?"

"Check the attached document."

"The document was sent in compressed format."

"Please see the attached file for details"

"See the attached file for details"

"Details are in the attached document. You need Microsoft Office to open it."

 

附件:(随机字符串)

附件包含了蠕虫的可执行程序,其扩展名可能为下列之一:

.bat

.cmd

.com

.exe

.pif

.scr

.zip(在此种情况下,该.zip 文件包含的蠕虫副本的名称与 .zip 文件的文件名相同。如,hi.zip 可能包含 hi.exe)

 

附件可能有两个扩展名。 如果是这种情况,第一个扩展名为下列之一:

.doc

.htm

.rtf

.xls

.jpg

.gif

.png

.txt

在第一个扩展名后面跟有 40 到 159 个空格。

 

第二个扩展名将是下列之一:

.exe

.pif

.scr

 

蠕虫会在以下扩展名的文件中查找邮件地址:

.htm

.sht

.php

.asp

.dbx

.tbb

.adb

.eml

.msg

.vbs

.mht

.oft

.uin

.rtf

.ods

.mmf

.nch

.mbx

.wab

 

6、终止进程

病毒还尝试禁止包含以下字符串的进程,其中系统中文件 “regedit.exe” 就包含字符串“reged”,“taskmgr.exe”中包含字符串“taskmg”所以在遭受病毒感染后,会出现注册表编辑器和任务管理器无法正常打开,一旦打开就立即被关闭的现象。另外,涉及到很多杀毒软件也被自动关闭。

正常打开的方法,将注册表重命名后,在原注册表所在目录中查找到重命名的文件,打开该文件,进行编辑。

"reged"

"taskmo"

"taskmg"

"avp."

"avp32"

"norton"

"navapw"

"navw3"

"intrena"

"mcafe" 

7、发动攻击

当系统时间在17到22号之间时,病毒还有会发起对网站www.riaa.comwww.microsoft.com进行DOS攻击。 

 

清除该病毒的相关操作

1、终止病毒进程
    在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的病毒进程,并终止其运行。 

2、注册表的恢复
   点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run或HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run ,
并删除面板右侧的<4到8个随机的小写字母>" = "%System%\<生成的病毒的文件名> 

3、运行杀毒软件对系统进行全面的病毒查杀,删除查找到的病毒文件 

    目前,趋势、KILL、卡巴斯基、金山公司和瑞星公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。


 国家计算机病毒应急处理中心
 计算机病毒防治产品检验中心
     址:Http://www.antivirus-China.org.cn
 电  话:022-66211488/66211489/66211490 
 传  真:022-66211487 
 电子邮件:security@tj.cnuninet.net