【参加讨论】【问题提问、论坛交流】病毒名称: worm.mydoom.ab
中文名称: 诺维格变种ab
威胁级别: 二级
病毒别名: i-worm.mydoom.y[avp]
发现日期: 2004.09.17
病毒简介: a、该病毒会把自身复制到windows目录下并以服务的形式随计算机启动而运行.;
b、通过修改注册表禁止使用注册表工具(regedit);
c、修改hosts文件使用户无法登录一些安全或反病毒公司主页;
d、通过icq发送带毒链接来传播自身;
e、从指定的网站下载后门木马到用户机器上;
f、结束用户机器上的反病毒软件的进程;
g、向外发送大量的带毒邮件,而造成网络堵塞。
技术特点:
1、把自己复制到%systemroot%services.exe
2、修改注册表:
a.win9x:
在注册表主键"hklm\software\microsoft\windows\currentversion\run"下,
添加如下键值:"serv"="%systemroot%services.exe"
b.win2000/xp:
创建服务:
服务名: netbios ext
显示名称: netbios ext
执行路径: %windir%\services.exe serv
启动类型: automatic
增加hkey_local_machine\system\currentcontrolset\services\netbios ext
hkey_local_machine\system\currentcontrolset\services\netbios ext\type = "0x10"
hkey_local_machine\system\currentcontrolset\services\netbios ext\start = "0x2"
hkey_local_machine\system\currentcontrolset\services\netbios ext\errorcontrol = "0x1"
hkey_local_machine\system\currentcontrolset\services\netbios ext\imagepath =
"%systemroot%\services.exe serv"
hkey_local_machine\system\currentcontrolset\services\netbios ext\displayname = "netbios ext"
hkey_local_machine\system\currentcontrolset\services\netbios ext\security\security
hkey_local_machine\system\currentcontrolset\services\netbios ext\objectname = "localsystem"
3、修改注册表项
hkey_current_user\software\microsoft\windows\currentversion\policies
\disableregistrytools = "0x0"
hkey_local_machine\software\microsoft\windows\currentversion\policies
\disableregistrytools = "0x0"
4、修改%system%\drivers\etc\hosts文件,使用户不能正常登录反病毒相关网站
127.0.0.1 www.avp.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.networkassociates.com
127.0.0.1 us.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 avp.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 dispatch.mcafee.com
编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部]
上一篇:计算机病毒最常见的几种类型
下一篇:知根知底 如何查找垃圾邮件真正发件人
转载请注明来源:www.iyit.net
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
当前位置:首页>>网络安全>>安全防范>>正文 
易特网络技术