[email protected]病毒解決方法

來源:本站原創 打個噴嚏 超過2,516 views圍觀 0條評論

別名

Mydoom.M,W32/[email protected],W32/[email protected],WORM_MYDOOM.M,Win32.Mydoom.M,I-Worm.Mydoom.m

[email protected]是Mydoom蠕蟲一個新的變種。它是一個通過郵件來傳播的蠕蟲。它通常用假的發件人地址來欺騙收件人。它會隨機在附件中添加不同擴展名的文件。一旦附件被收件人打開并運行,蠕蟲將其自身以隨機的名稱拷貝到windows系統文件夾中,并且創建一個鍵值:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM="%Windows%\java.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\\Run"Services"=%WinDir%\SERVICES.EXE

HKEY_CURRENT_USER\Software\Microsoft\Daemon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

一旦病毒從被感染的電腦收集郵件地址,它將向下列引擎發出申請來尋找同樣域名下的郵件地址,同時可能造成DoS攻擊:

 

http://search.lycos.com

 

http://www.altavista.com

 

http://search.yahoo.com

 

http://www.google.com

該蠕蟲同時會利用后門程序開放TCP1034端口,等待遠程連接。該后門程序被Symantec檢測為Backdoor.Zincite.A。

蠕蟲將從下面擴展名的文件中收集郵件地址:

hlp

tx*

asp

ht*

sht*

adb

dbx

wab

它會跳過含有下面字符串的域名:

arin.

avp

bar.

domain

example

foo.com

gmail

gnu.

google

hotmail

microsoft

msdn.

msn.

panda

rarsoft

ripe.

sarc.

seclist

secur

sf.net

sophos

sourceforge

spersk

syma

trend

update

uslis

winrar

winzip

yahoo

它將跳過所有郵件帳號中含有下面字符串的郵件:

anyone

ca

feste

foo

gold-certs

help

info

me

no

nobody

noone

not

nothing

page

rating

root

site

soft

someone

the.bat

you

your

admin

support

ntivi

submit

listserv

bugs

secur

privacycertific

accoun

sample

master

abuse

spam

mailer-d

受影響版本:

Windows2000

Windows95

Windows98

WindowsMe

WindowsNT

WindowsServer2003

WindowsXP

解決方案:

由于該病毒感染文件隨機性較強,手工定位較為困難。建議及時升級防病毒軟件,予以清除。

XP使用

Symantec提供的:http://securityresponse.symantec.com/avcenter/FxMydoom.exe

http://www.symantec.com/zh/cn/security_response/writeup.jsp?docid=2004-012710-0202-99

WIN7 使用來解決問題.

http://www.microsoft.com/zh-cn/download/malicious-software-removal-tool-details.aspx

clip_image002

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3479轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏