|
根據(jù)公安部病毒預(yù)警通告,中文名稱為"諾維格"(Novarg)的蠕蟲病毒將于2月1日左右發(fā)作,據(jù)通告稱,該病毒為高感染性的惡性病毒,請(qǐng)您在開始工作前及時(shí)更新您的殺毒軟件,如沒有安裝殺毒軟件,請(qǐng)?jiān)谝韵碌刂废螺d病毒專殺工具,及時(shí)查殺,同時(shí)�����,請(qǐng)您仔細(xì)閱讀下面的內(nèi)容,及時(shí)注意您的計(jì)算機(jī)的工作狀態(tài)��,在接受郵件時(shí)仔細(xì)觀察郵件的附件是否具備該病毒的特征�����,謹(jǐn)慎處理所收到的郵件的附件,如懷疑為病毒體請(qǐng)馬上刪除����,不要打開郵件及郵件的附件:
1、下載地址:http://it.rising.com.cn/service/technology/RS_Novarg.htm
2���、病毒介紹
病毒名稱:SCO炸彈(Worm.Novarg)這是一個(gè)蠕蟲病毒�����。用upx壓縮。
病毒行為:
病毒運(yùn)行后將在系統(tǒng)注冊(cè)表試著打開HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version這個(gè)鍵���。
如果失敗病毒將認(rèn)為是第一次運(yùn)行在系統(tǒng)中加入該鍵�����。并在%temp%目錄中隨機(jī)生成一個(gè)文件(內(nèi)容隨機(jī))并用notepad打開該文件�����。(這是病毒用來偽裝的�����,病毒圖標(biāo)為一個(gè)文本文件)病毒將自己復(fù)制到%system%目錄下�,文件名為:taskmon.exe并在注冊(cè)表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run加入自己的鍵值:TaskMon
后門:
病毒釋放一個(gè)dll文件到%system%目錄中。文件名為:shimgapi.dll
并將該文件以系統(tǒng)組件形式植入系統(tǒng)(以便隨系統(tǒng)啟動(dòng)時(shí)啟動(dòng))方式為:在加入注冊(cè)表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 項(xiàng)�。該模塊為一個(gè)代理服務(wù)器,端口為3127至3198該模塊還能根據(jù)傳來的命令接受一個(gè)文件到本地系統(tǒng)并執(zhí)行��。
Dos攻擊:
病毒將在一個(gè)時(shí)段范圍內(nèi)(2004.2.1至2004.2.12向www.sco.com網(wǎng)站發(fā)動(dòng)Dos攻擊)攻擊線程達(dá)64個(gè)�����。
P2p共享傳播:
病毒將通過注冊(cè)表Software\Kazaa\Transfer查詢P2P軟件的共享目錄并將自己以隨機(jī)選擇體內(nèi)的文件名將自己復(fù)制到該目錄����。文件名為:
winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP office_crack,nuke2004
擴(kuò)展名為:.pif,.scr,.bat,.exe
郵件傳播:
病毒將通過注冊(cè)表得到當(dāng)前用戶使用的wab文件。并打開搜索其中的email地址���。病毒還將遍歷所有磁盤文件并從擴(kuò)展名為:.htm �����,.sht �����,.php ����,.asp ,.dbx ��,.tbb ���,.adb .pl ��,.wab �����,.txt中搜索email地址(病毒將避開.edu結(jié)尾的email地址)并對(duì)這些地址進(jìn)行發(fā)送病毒郵件��。
病毒郵件的標(biāo)題為以下其中之一:test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,StatusError
郵件內(nèi)容為:
郵件內(nèi)容為病毒用隨機(jī)的數(shù)據(jù)進(jìn)行編碼。當(dāng)編碼失敗時(shí)病毒用
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.test
The message contains Unicode characters and has been sent as a binary attachment.Mail transaction failed. Partial message is available.
或空內(nèi)容作為郵件正文�。
郵件的附件名為以下其中之一:
document,readme,doc,text,file,data,test,message,body
擴(kuò)展名為以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip
如果曾經(jīng)打開過類似郵件的附件,請(qǐng)馬上殺毒����。
出處:藍(lán)色理想
責(zé)任編輯:藍(lán)色
|
