您现在的位置: 首页 > 病毒库 > 蠕虫病毒
Win32.Mydoom.A
发布时间:2004-12-27 18:43:00
病毒名称:Win32.Mydoom.A
其它名称:W32.Novarg.A@mm (Symantec) ,W32/Mydoom@MM (McAfee)
病毒属性:蠕虫病毒 危害性:高危害 流行程度:
具体介绍:

Win32.Mydoom.A 蠕虫病毒可通过e-mail及网络共享传播。病毒本身使用UPX压缩。
病毒邮件的主题、内容以及所携带的附件文件名称都是可变的,但发件人的地址是:'spoofed'
病毒的主题可能来自其本身携带的列表或者随机代码生成程序。例如可能会是:

Error
hello
HELLO
hi
Hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status

病毒邮件的内容也同样有可能来自病毒自身的列表或者随机程序生成,也有可能是空的。
邮件内容有可能是:

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

附件文件的名字也是不固定的,有可能是:
Data、Readme、Message、Body、Text、File、Doc、document

而且使用的后缀名也是不同的。可能会使用到的后缀名:
.bat, .cmd, .pif, .exe, and .scr. zip.
当病毒程序被激活后,它回在以下后缀名的文件中查找e-mail地址:
adb、asp、dbx、htm、php、sht、tbb、txt、wab

在2004年2月12日此病毒将停止传播(发送病毒邮件)。但是病毒仍然会在系统中释放一个后门程序:shimgapi.dll

此病毒传播的第二种途径:P2P的网络共享。病毒使用下面的文件名将自身拷贝到传送的目录中:
nuke2004、office_crack、rootkitXP、strip-girl-2.0bdcom_patches、activation_crack、icq2004-final、winamp5

可能会使用的后缀名:bat、exe、pif、scr

感染系统:
当病毒程序被执行后,病毒将自身拷贝到:系统%System% 目录(文件名称:taskmon.exe),并且更改注册表,以便下次系统重新启动时自动运行:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon = "%System%\taskmon.exe"

病毒还会在系统%System% 目录生成SHIMGAPI.DLL 文件,并且更改注册表:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
[Default] = "%System%\shimgapi.dll"

当病毒首次执行时,它会在系统的临时目录中建立一个 邮件文件。可使用记事本来查看此文件:


病毒同时会在修改注册表的以下两个地方建立健值:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

病毒的后门功能:
Win32.Mydoom 会监听 TCP port 3127 ,(如果这个端口被其他程序使用,病毒尝试使用后面的连续三个端口3128- 3199 )。

Dos攻击:
病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个。

附加:
专用病毒清除工具:>> clnmydoom.zip 点击下载 << 可清除本地系统的Win32.Mydoom 病毒。此工具用于没有反病毒软件以及使用早期kill98/2000产品的用户。使用前请阅读其中的README.TXT

清除:

kill版本: