江民10.14病毒播报:任意门和挪威客变种

10/14/2009来源:病毒数据库人气:4172

  江民今日提醒您注意:在今天的病毒中Worm/AutoDoor.ab“任意门”变种ab和Worm/Mydoom.da“挪威客”变种da值得关注。

  英文名称:Worm/AutoDoor.ab
  中文名称:“任意门”变种ab
  病毒长度:1064970字节
  病毒类型:蠕虫
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:5e2d6b7cea23343df0831ac707124f81
  特征描述:
  Worm/AutoDoor.ab“任意门”变种ab是“任意门”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“任意门”变种ab为被感染的“exe”文件,其图标仍旧为原应用程序的图标,以此迷惑用户,提高了自身的生存几率。“任意门”变种ab会自我复制到被感染计算机中“C:\PRogram Files\NetMeeting\”文件夹下,重命名为“winconfig_*.exe”,同时释放恶意DLL文件“winconfig_*.dll”或“netservice*.dll”。“任意门”变种ab会将所有需要使用的配置信息都记录到注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Simple\”项中。“任意门”变种ab会关闭系统防火墙、指定的进程以及标题中带有特定字符串的窗口,从而达到了自我保护的目的。连接指定的URL,例如“http://*.**/config.ini”(*为13个特定字符串,**为“vicp.cc”、“3322.org”等),获取配置文件并保存到“c:\program files\netmeeting\”文件夹下。“任意门”变种ab会根据配置文件的设置进行下载其它恶意程序、窃取用户敏感资料等恶意行为,从而给系统用户造成了不同程度的侵害。“任意门”变种ab还会感染特定下载软件的共享文件夹或存储在可移动存储设备中的“exe”、“doc”和“docx”文件,从而实现了通过网络资源共享软件、可移动存储设备等进行传播的目的。另外,其会通过修改注册表的方式实现开机自启。

  英文名称:Worm/Mydoom.da
  中文名称:“挪威客”变种da
  病毒长度:30720字节
  病毒类型:蠕虫
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:457f760cc7fba159296fc3a5a1b13a5d
  特征描述:
  Worm/Mydoom.da“挪威客”变种da是“挪威客”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“挪威客”变种da运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”文件夹下,重新命名为“taskmon.exe”。“挪威客”变种da运行时,会读取被感染计算机用户的Outlook联系人,搜索计算机上的“txt”、“htm”等类型文件中可能存在的电子邮件地址,然后用自带邮件引擎以不定的发件人向这些邮件地址发送电子邮件,邮件标题为“TEST”、“Error”等,并且携带名为“document.zip”的附件。该附件中包含名为“document.doc ... .exe”、“message.scr”等文件名的“挪威客”变种da副本,从而以此实现了通过邮件方式进行传播的目的。另外,“挪威客”变种da会通过在被感染系统注册表启动项中添加键值“TaskMon”的方式实现蠕虫的开机自动运行。