W32.Mydoom.M@mm病毒解决方法

来源:本站原创 打个喷嚏 超过2,009 views围观 0条评论

別名

Mydoom.M,W32/Mydoom.o@MM,W32/MYDOOM.L@MM,WORM_MYDOOM.M,Win32.Mydoom.M,I-Worm.Mydoom.m

W32.Mydoom.M@mm是Mydoom蠕虫一个新的变种。它是一个通过邮件来传播的蠕虫。它通常用假的发件人地址来欺骗收件人。它会随机在附件中添加不同扩展名的文件。一旦附件被收件人打开并运行,蠕虫将其自身以随机的名称拷贝到windows系统文件夹中,并且创建一个键值:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM="%Windows%\java.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\\Run"Services"=%WinDir%\SERVICES.EXE

HKEY_CURRENT_USER\Software\Microsoft\Daemon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

一旦病毒从被感染的电脑收集邮件地址,它将向下列引擎发出申请来寻找同样域名下的邮件地址,同时可能造成DoS攻击:

 

http://search.lycos.com

 

http://www.altavista.com

 

http://search.yahoo.com

 

http://www.google.com

该蠕虫同时会利用后门程序开放TCP1034端口,等待远程连接。该后门程序被Symantec检测为Backdoor.Zincite.A。

蠕虫将从下面扩展名的文件中收集邮件地址:

hlp

tx*

asp

ht*

sht*

adb

dbx

wab

它会跳过含有下面字符串的域名:

arin.

avp

bar.

domain

example

foo.com

gmail

gnu.

google

hotmail

microsoft

msdn.

msn.

panda

rarsoft

ripe.

sarc.

seclist

secur

sf.net

sophos

sourceforge

spersk

syma

trend

update

uslis

winrar

winzip

yahoo

它将跳过所有邮件帐号中含有下面字符串的邮件:

anyone

ca

feste

foo

gold-certs

help

info

me

no

nobody

noone

not

nothing

page

rating

root

site

soft

someone

the.bat

you

your

admin

support

ntivi

submit

listserv

bugs

secur

privacycertific

accoun

sample

master

abuse

spam

mailer-d

受影响版本:

Windows2000

Windows95

Windows98

WindowsMe

WindowsNT

WindowsServer2003

WindowsXP

解决方案:

由于该病毒感染文件随机性较强,手工定位较为困难。建议及时升级防病毒软件,予以清除。

XP使用

Symantec提供的:http://securityresponse.symantec.com/avcenter/FxMydoom.exe

http://www.symantec.com/zh/cn/security_response/writeup.jsp?docid=2004-012710-0202-99

WIN7 使用来解决问题.

http://www.microsoft.com/zh-cn/download/malicious-software-removal-tool-details.aspx

clip_image002

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=3479转载请注明转自CCIE那点事
如果喜欢:点此订阅本站