找回密码
 用户注册

QQ登录

只需一步,快速开始

查看: 1212|回复: 2

邮件病毒肆虐,各位小心防毒

[复制链接]
发表于 2004-3-15 22:53:13 | 显示全部楼层 |阅读模式
昨天晚上收到一位老师的邮箱发来的email,而且标题是Important,所以也没疑心就打开了。谁知今天开机就发现每个盘都多了些.zip文件,刚开始还以为是下载了什么东西。后来去bbs询问,才知道中了mydoom病毒。
这种恶性病毒会直接把office文档删除掉,然后再生成病毒文件,覆盖原office文档区域
总之,中毒之后,开机时间超过一天的话,删掉的文件基本上修故不了。 : : :可怜偶以前的作业之类以及一些照片统统被吃掉了。
各位引以为戒呀。。。。
发表于 2004-3-15 22:59:39 | 显示全部楼层

Mydoom的病毒特征


流萤所说极是,大家要充分重视:

下面是我前段时间收到一个朋友传来的提醒函件,说到最近邮件病毒的特征:
----------------------------------------------------------

北京时间1月27日,一种新型蠕虫病毒正在企业电子邮件系统中传播,导致邮件数量暴增,从而阻塞网络。

不同反病毒厂商将其命名为Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种等,该病毒采用的是病毒和垃圾邮件相结合的少见战术。不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。

上周三,安全专家称目前正在互联网上蔓延的MyDoom(我的末日)病毒将很快超越Sobig.F成为史上最恐怖的邮件病毒。在MyDoom病毒在出现的最初36个小时里,受该病毒感染的计算机共发送了超过一百万封病毒邮件。2003年8月,在令人谈之色变的Sobig.F病毒出现的第一周内,受该病毒感染的计算机共发送了300万左右封病毒邮件。一般来说,某一病毒出现24小时后,病毒的威力会逐渐下降,这是因为有越来越多的用户意识到了病毒的威胁而进行了安全更新。但是,MyDoom病毒出现36个小时后,仍然没有出现减弱的趋势。安全专家认为,按照目前的趋势发展下去,MyDoom超越Sobig.F病毒只是时间的问题。

目前,MyDoom病毒已经引起美国联邦调查局的注意。攻击的速度和严重性让安全人员吃惊。F-Secure安全专家希波宁表示:“这是规模最大的一次拒绝访问式攻击。我们估计被感染的计算机将超过100万台”并给黑客、垃圾邮件制作者和其它电脑犯罪者带来恶意攻击的机会。英国一家安全公司还称,到目前为止该病毒所造成的经济损失已经达到261亿美元。


我已经收到无数个病毒邮件,发件人大多为陌生人,也有一部分熟人,甚至还有我自己(邮件地址被盗现象)。

这里提醒大家:

1)如果收到可疑邮件一定要小心处理,不要点击任何可疑附件,哪怕发件人你认识,以免给自己造成重大损失。

   病毒特征:

   A.病毒邮件的标题为以下其中之一:
    test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status,Error

    B.邮件内容为病毒用随机的数据进行编码。

   当编码失败时病毒用:

The message cannot be represented in 7 -bit  ASCII    encoding and has been sent as a binary attachment.

    test

    The message contains Unicode characters and has been sent as  a binary attachment.

    Mail transaction failed. Partial message is available.

    或空内容作为邮件正文。




    C.邮件的附件名为以下其中之一:

    document,readme,doc,text,file,data,test,message,body


    D.扩展名为以下其中之一:

    .pif,.scr,.exe,.cmd,.bat,.zip


  有关Mydoom的病毒分析报告,详见下文。

2)专杀工具下载:

http://it.rising.com.cn/service/technology/RS_Novarg.htm

3)还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。


  

SCO炸弹(Worm.Novarg)病毒分析报告
--------------------------------------------------------------------------------
www.rising.com.cn  2004-1-27 16:59:00  信息源:瑞星公司  

广告   

  
病毒名称:SCO炸弹(Worm.Novarg)

警惕程度:★★★★

发作时间:随机

病毒类型:蠕虫病毒

传播途径:邮件

依赖系统: WINDOWS 9X/NT/2000/XP



病毒介绍:

1月27日,瑞星全球反病毒监测网率先截获一个传播力极强的蠕虫病毒,并命名为“SCO炸弹”(Worm.Novarg)病毒.该病毒通过电子邮件传播,感染用户电脑之后潜伏下来,等到系统日期为2004年2月1日时发作,利用受感染电脑对SCO网站进行拒绝服务式攻击。

据瑞星反病毒工程师分析,此病毒最先在欧美爆发,主要目的是利用大量受感染电脑攻击SCO公司的官方网站,很可能是LINUX爱好者编写。

该病毒利用电子邮件传播,伪装成电子邮件系统的退信,邮件标题可能为“Error”、“Mail Transaction Failed”、“Server ReportMail Delivery System”,附件后缀为“bat、cmd、exe、pif、scr、zip”,该附件即为病毒体。瑞星反病毒工程师提醒用户,如果收到类似可疑邮件,请不要打开附件。



病毒的特性、发现与清除:

1.     该病毒是蠕虫型病毒,采用upx压缩。

2.     病毒运行时会释放后门程序为:%System%\ shimgapi.dll,该后门为一个代理服务器,端口为3127至3198,该模块还能根据传来的命令接受一个文件到本地系统并执行。可将该病毒文件直接删除。

注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。

3.     病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。

注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。

4.     病毒运行时会将自身复制为:%System%\taskmon.exe,目的是冒充系统的任务管理器,广大计算机用户要注意分辨。可将该病毒文件直接删除。

5.     病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行,则会立刻将该程序关闭,目的是防止用户查看内存中的病毒进程。

6.     病毒运行时会修改注册表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒键值:"(Default)" = "%System%\ shimgapi.dll ",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。

7.     病毒会修改注册表的自启动项:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,

在其中加入病毒键值:" TaskMon ",目的是开机时可以自动运行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。

8.     病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个,如果攻击成功,将会导致这两个网站瘫痪,无法向用户提供服务。

9.       病毒运行时将会在以下类型: .htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb

.pl ,.wab ,.txt的文件中搜索email地址(病毒将避开.edu结尾的email地址),并向这些地址发送病毒邮件。

10.  病毒邮件的附件是病毒体,采用双后缀形式来迷惑用户,常用的后缀为:.htm、.txt、.doc

11.  病毒邮件为以下内容:

    病毒邮件的标题为以下其中之一:

    test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status,Error

    邮件内容为病毒用随机的数据进行编码。

    当编码失败时病毒用:

The message cannot be represented in 7 -bit  ASCII    encoding and has been sent as a binary attachment.

    test

    The message contains Unicode characters and has been sent as  a binary attachment.

    Mail transaction failed. Partial message is available.

    或空内容作为邮件正文。



    邮件的附件名为以下其中之一:

    document,readme,doc,text,file,data,test,message,body



    扩展名为以下其中之一:

    .pif,.scr,.exe,.cmd,.bat,.zip



12.  该病毒能通过一些P2P共享软件进行传播,病毒运行时会通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。

    文件名为:   

winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP,   office_crack,nuke2004。

    扩展名为:

  .pif,.scr,.bat,.exe



瑞星反病毒专家的安全建议:

1.     建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。

2.     关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。

3.     经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。

4.     使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。

5.     迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。

6.     了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。

7.     最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报,这样才能真正保障计算机的安全。

发表于 2004-3-25 22:07:16 | 显示全部楼层

RE:邮件病毒肆虐,各位小心防毒

我的计算机也中病毒了 :
您需要登录后才可以回帖 登录 | 用户注册

本版积分规则

Archiver|手机版|民间文化青年论坛 Forum of Folk Culture Studies

GMT+8, 2024-11-23 17:01

Powered by Discuz! X3.5

Copyright © 2024 https://www.folkculture.cn

手机扫码访问
快速回复 返回顶部 返回列表