“SCO炸弹(MyDoom)”病毒
该病毒的特性如下:
一、病毒评估:
病毒危险等级:
病毒类型:蠕虫病毒
病毒传播途径:网络/邮件
病毒依赖系统:WINDOWS NT/2000/XP
二、病毒特性:
1.该病毒属于恶性蠕虫病毒,具有很大的感染性和破坏性。
2.病毒运行时会在%Temp%目录中生成一个内容为随机数据的文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:Windowsemp”或:“c:Winntemp”。
3.病毒运行时会修改注册表:HKEY_CLASSES_ROOTCLSIDE6FB5E20-DE35-11CF-9C87-00AA005127EDInProcServer32和HKEY_CLASSES_ROOTCLSID35CEC8A3-2BE6-11D2-8773-92E220524153InProcServer32,使其指向一个病毒自己释放的dll文件。
4.病毒还在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中加入自己的键值,并且在运行时会释放后门程序为:%System%“随机字符。dll
注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:Windowssystem”或:“c:Winntsystem32”。
5.病毒体内带有以下特征文字:
To netsky's creator(s):
imho, skynet is a decentralized peer-to-peer neural network.
we have seen P2P in Slapper in Sinit only. they may becalledskynets,
but not your shitty app
三、病毒破坏:
1.进行Ddos攻击。
病毒会建立随机个线程启动对symantec.com网站发动Ddos攻击。
2.发送大量的病毒邮件。
病毒运行时将会从以下扩展名:。xls,。jpg,。avi,。wma,。mp4,。mp3,。wav,。wab,。mht,。adb,。tbb,。uin.rtf.,dbx,。eml,。mmf,。nch,。mbx,。asp,。pl,。sht,。php.的文件中搜索有效的email地址(病毒将避开。edu结尾的email地址),并向这些地址发送病毒邮件。
3.终止进程。
病毒将终止带有下列字眼的进程:
"hotactio"
"sperm"
"fuck"
"porn"
"penis"
"pussy"
"taskmo"
"taskmg"
"reged"
"beagle"
"wkufind"
"intren"
"click"
"updat"
"upgrad"
"utpost."
"avwupd"
"avpupd"
"d3du"
4.删除文件。
病毒发作时会删除如下文件:
"adaware.exe"
"alevir.exe"
"arr.exe"
"backweb.exe"
"bargains.exe"
"belt.exe"
"blss.exe"
"bootconf.exe"
"bpc.exe"
"brasil.exe"
"bundle.exe"
"bvt.exe"
"cfd.exe"
"cmd32.exe"
"cmesys.exe"
"datemanager.exe"
"dcomx.exe"
"divx.exe"
"dllcache.exe"
"dllreg.exe"
"dpps2.exe"
"dssagent.exe"
"emsw.exe"
"explore.exe"
"fsg_4104.exe"
"gator.exe"
"gmt.exe"
"hbinst.exe"
"hbsrv.exe"
"hotfix.exe"
"hotpatch.exe"
"htpatch.exe"
"hxdl.exe"
"hxiul.exe"
"idle.exe"
"iedll.exe"
"iedriver.exe"
"iexplorer.exe"
"inetlnfo.exe"
"infus.exe"
"infwin.exe"
"intdel.exe"
"init.exe"
"isass.exe"
"istsvc.exe"
"jdbgmrg.exe"
"kazza.exe"
"keenvalue.exe"
"kernel32.exe"
"launcher.exe"
"lnetinfo.exe"
"loader.exe"
"mapisvc32.exe"
"md.exe"
"mfin32.exe"
"mmod.exe"
"mostat.exe"
"msapp.exe"
"msbb.exe"
"msblast.exe"
"msdos.exe"
"mscache.exe"
"msccn32.exe"
"mscman.exe"
"msdm.exe"
"msiexec16.exe"
"mslaugh.exe"
"msmgt.exe"
"msmsgri32.exe"
"msrexe.exe"
"mssys.exe"
"msvxd.exe"
"netd32.exe"
"nssys32.exe"
"nstask32.exe"
"nsupdate.exe"
"onsrvr.exe"
"optimize.exe"
"patch.exe"
"pgmonitr.exe"
"powerscan.exe"
"prizesurfer.exe"
"prmt.exe"
"prmvr.exe"
"ray.exe"
"rb32.exe"
"rcsync.exe"
"run32dll.exe"
"rundll.exe"
"rundll16.exe"
"ruxdll32.exe"
"sahagent.exe"
"save.exe"
"savenow.exe"
"sc.exe"
"scam32.exe"
"scrsvr.exe"
"scvhost.exe"
"service.exe"
"servlce.exe"
"servlces.exe"
"showbehind.exe"
"smss32.exe"
"soap.exe"
"spoler.exe"
"spoolcv.exe"
"spoolsv32.exe"
"srng.exe"
"start.exe"
"stcloader.exe"
"support.exe"
"svc.exe"
"sms.exe"
"svchosts.exe"
"svchostc.exe"
"svshost.exe"
"system.exe"
"sysupd.exe"
"system32.exe"
"teekids.exe"
"trickler.exe"
"tsadbot.exe"
"tvmd.exe"
"tvtmd.exe"
"webdav.exe"
"win32.exe"
"win32us.exe"
"winactive.exe"
"win-bugsfix.exe"
"windows.exe"
"wininetd.exe"
"wininit.exe"
"wininitx.exe"
"winlogin.exe"
"winmain.exe"
"winnet.exe"
"winppr32.exe"
"winservn.exe"
"winssk32.exe"
"winstart.exe"
"winstart001.exe"
"wintsk32.exe"
"winupdate.exe"
"wnad.exe"
"wupdt.exe"
"wupdater.exe"
"au.exe"
"ssgrate.exe"
四、安全建议:
1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和Web服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报,这样才能真正保障计算机的安全。