MYDOOM最新变种AB(Worm.Mydoom.AB)分析报告-MYDOOM-小新技术网xker.com

首页	\| 页界资讯	\| 网络应用	\| 软件应用	\| 组网技术	\| 网络原理	\| 聊天通讯	\| 网管知识	\| 帮助
笑话	\| 操作系统	\| 注册表	\| 编程开发	\| 数据库	\| 媒体动画	\| 网页设计	\| 图形图象	\| 地图
论坛	\| 网络安全	\| 安全防范	\| 服务器	\| 硬件学堂	\| 路由技术	\| 搜索研究	\| 站长经验	\| 投稿
影院	\| 教育频道	\| 特色专题	\| 精文荟萃	\| 注册码	\| 论坛社区	\| 网站地图	\| 广告服务	\| 旧版

设为首页

加入收藏

当前位置：首页>>文章>>网络安全>>安全防范>>正文

MYDOOM最新变种AB(Worm.Mydoom.AB)分析报告

www.xker.com 作者：来源：金山毒霸加入日期：2006-3-10 9:27:54

【问题提问、论坛交流】病毒名称: Worm.Mydoom.AB

中文名称: 诺维格变种AB

威胁级别: 二级

病毒别名: I-Worm.Mydoom.y[AVP]

发现日期: 2004.09.17

病毒简介:

A、该病毒会把自身复制到windows目录下并以服务的形式随计算机启动而运行.；

B、通过修改注册表禁止使用注册表工具(regedit)；

C、修改hosts文件使用户无法登录一些安全或反病毒公司主页；

D、通过ICQ发送带毒链接来传播自身；

E、从指定的网站下载后门木马到用户机器上；

F、结束用户机器上的反病毒软件的进程；

G、向外发送大量的带毒邮件,而造成网络堵塞。

技术特点：

1、把自己复制到%SystemRoot%services.exe

2、修改注册表:

A.Win9x:

在注册表主键"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"下，

添加如下键值："serv"="%SystemRoot%services.exe"

B.Win2000/xp:

创建服务:

服务名: NetBios Ext

显示名称: NetBios Ext

执行路径: %Windir%\services.exe serv

启动类型: Automatic

增加HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\Type = "0x10"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\Start = "0x2"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\ErrorControl = "0x1"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\ImagePath =

"%SystemRoot%\services.exe serv"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\DisplayName = "NetBios Ext"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\Security\Security

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\ObjectName = "LocalSystem"

3、修改注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

\DisableRegistryTools = "0x0"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

\DisableRegistryTools = "0x0"

4、修改%System%\drivers\etc\hosts文件,使用户不能正常登录反病毒相关网站

127.0.0.1 www.avp.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 www.symantec.com

127.0.0.1 networkassociates.com

127.0.0.1 secure.nai.com

127.0.0.1 downloads1.kaspersky-labs.com

127.0.0.1 downloads2.kaspersky-labs.com

127.0.0.1 downloads3.kaspersky-labs.com

127.0.0.1 downloads4.kaspersky-labs.com

127.0.0.1 downloads-us1.kaspersky-labs.com

127.0.0.1 downloads-eu1.kaspersky-labs.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 www.networkassociates.com

127.0.0.1 us.mcafee.com

127.0.0.1 f-secure.com

127.0.0.1 avp.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.f-secure.com

127.0.0.1 dispatch.mcafee.com