论坛: 病毒专区 标题: 关于MYDOOM.E病毒,会杀的请进 复制本贴地址    
作者: lqfrla [lqfrla]    论坛用户   登录
近来MY DOOM病毒十分猖狂,SCO公司被攻击想来大家都知道,
小弟我的机子不幸也中了,望各位给支个招,在次谢谢了

地主 发表时间: 04-03-15 21:50
回复: z7 [skyzz]   论坛用户   登录
好像江民公司已经搞定了  他的分析报告如下
病毒名�Q:I-Worm/Mydoom.e

    病毒大小:34,568 bytes

    �鞑シ绞剑壕W路�鞑�

    危害程度:***   

    此病毒是一��群�l�]件的�W路蠕�x病毒,透�^��子�]件�K�y���U展名�� .bat, .com .cmd, .exe, .pif, .scr, 或者 .zip的病毒附件�磉M行�鞑ァS�算�C感染病毒後,���O置後�T,�_放TCP 1080端口,允�S攻�粽哌B接此��算�C�K利用一��代理�@得�L���W路�Y源的�S可�啵�後�T程式��可以下�d和�绦腥我獾奈募�。如果被感染��算�C的系�y日期是在任何一��月的17到22��之�g,��病毒������www.microsoft.com和www.riaa.com�W站�绦�DoS(拒�^服�眨┕��簟�

    ��病毒的�鞑ミ^程如下:

    1.�@示一�l��假的消息框:�祟}���椋�"Error"。�热菘赡苁�"File is corrupted"或者"File cannot be opened "或者"Unable to open specified file"

    2.在系�y�]�员�HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run和

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加

    "<4到8���S�C的小��字母>" = "%System%\<蠕�x文件副本>"以使病毒�SWindows系�y一同���印�

    3.在系�y�]�员碇���建HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell和

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell����子�I。

    4.�z查被感染系�y的日期,如果日期是在每��月的17和22��之�g,�t有68%的可能����www.microsoft.com�W站�M行DoS攻�簦�有32%的可能����www.riaa.com�W站�M行DoS攻�簟�

    5.如果�]有�@示上述消息框,病毒��在Temp文件�A下生成一��包含�S�C�a生的����的文件,�K用��事本程式notepad.exe打�_。

    6.在系�y目��下生成病毒自身。��病毒自身是以�S�C的4到13��小��字母命名的.exe��型的可�绦形募�。在系�y目��下生成一��.dll��型的文件,文件名是以�S�C的4到8��小��字母命名的,蠕�x程式�⒃谠�文件的最後填加一些�S�C�a生的垃圾����。�@��.dll文件是蠕�x病毒後�T的一���M成部分,它做�橐���代理伺服器打�_�K�O��TCP 1080端口,可以下�d和�绦腥我獾奈募�。��後�T��可以根��系�y中正在�\行的一些�M程的名�Q�x���K�K止���M程。

    7.在根目��或者在Windows的安�b目��及其子目��下生成一些�S�C命名的.zip�嚎s文件,�@些文件的大小是34KB

    8.在��C到Z的所有���悠髦兴阉飨铝��U展名的文件,只要不是只�x�����w中的文件,病毒就���ζ溥M行�S�C�h除,包括�W路映射等�h程�����w:

    .mdb .doc .xls .sav .jpg .avi .bmp

    9.在所有���悠髦兴阉飨铝蓄�型的文件中的有效的Email地址作,包括IE的�R�r文件�A、Windows地址薄等:

    wab

    mbx

    nch

    mmf

    ods

    rtf

    uin

    oft

    mht

    vbs

    msg

    pl

    eml

    adb

    tbb

    dbx

    asp

    php

    sht

    htm

    txt

    10.再�乃阉鞯降�Email地址中去掉地址中包含下列字符串的�]件地址:

    mozilla

    utgers.ed

    tanford.e

    fsf.

    gnu

    mit.e

    bsd

    math

    unix

    berkeley

    ripe.

    arin.

    sendmail

    rfc-ed

    ietf

    iana

    irix

    solaris

    sgi.com

    sun.com

    slashdot

    sourcef

    usenet

    fido

    linux

    kernel

    google

    ibm.com

    pgp

    acketst

    secur

    isc.o

    isi.e

    nai.co

    essagela

    suppo

    foo.

    .mil

    gov.

    .gov

    ruslis

    nodoma

    mydoma

    example

    inpris

    borlan

    sopho

    panda

    hotmail

    msn.

    icrosof

    syma     

    解�Q方案:���υ�病毒江民公司在第一�r�g升��了病毒�欤�用�糁恍���KV江民�⒍鞠盗熊��w智慧升��到2004年02月24日最新版本,�_�⑵鹌咛����r�O控系�y,即可�⒋瞬《居行У��⑺涝谙到y之外,�_保���X不受病毒的侵�_。更多�Y����登��江民�W站查��:http://www.jiangmin.com

好长啊  对着手工杀吧  一定很刺激

B1层 发表时间: 04-03-16 14:03

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号