根据公安部病毒预警通告,中文名称为"诺维格"(Novarg)的蠕虫病毒将于2月1日左右发作,据通告称,该病毒为高感染性的恶性病毒,请您在开始工作前及时更新您的杀毒软件,如没有安装杀毒软件,请在以下地址下载病毒专杀工具,及时查杀,同时,请您仔细阅读下面的内容,及时注意您的计算机的工作状态,在接受邮件时仔细观察邮件的附件是否具备该病毒的特征,谨慎处理所收到的邮件的附件,如怀疑为病毒体请马上删除,不要打开邮件及邮件的附件:
1、下载地址:http://it.rising.com.cn/service/technology/RS_Novarg.htm
2、病毒介绍 病毒名称:SCO炸弹(Worm.Novarg)这是一个蠕虫病毒。用upx压缩。
病毒行为: 病毒运行后将在系统注册表试着打开HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version这个键。
如果失败病毒将认为是第一次运行在系统中加入该键。并在%temp%目录中随机生成一个文件(内容随机)并用notepad打开该文件。(这是病毒用来伪装的,病毒图标为一个文本文件)病毒将自己复制到%system%目录下,文件名为:taskmon.exe并在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run加入自己的键值:TaskMon
后门: 病毒释放一个dll文件到%system%目录中。文件名为:shimgapi.dll 并将该文件以系统组件形式植入系统(以便随系统启动时启动)方式为:在加入注册表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 项。该模块为一个代理服务器,端口为3127至3198该模块还能根据传来的命令接受一个文件到本地系统并执行。
Dos攻击: 病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个。 P2p共享传播: 病毒将通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。文件名为: winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP office_crack,nuke2004
扩展名为:.pif,.scr,.bat,.exe
邮件传播: 病毒将通过注册表得到当前用户使用的wab文件。并打开搜索其中的email地址。病毒还将遍历所有磁盘文件并从扩展名为:.htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb .pl ,.wab ,.txt中搜索email地址(病毒将避开.edu结尾的email地址)并对这些地址进行发送病毒邮件。
病毒邮件的标题为以下其中之一:test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,StatusError 邮件内容为: 邮件内容为病毒用随机的数据进行编码。当编码失败时病毒用 The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.test
The message contains Unicode characters and has been sent as a binary attachment.Mail transaction failed. Partial message is available. 或空内容作为邮件正文。
邮件的附件名为以下其中之一: document,readme,doc,text,file,data,test,message,body
扩展名为以下其中之一: .pif,.scr,.exe,.cmd,.bat,.zip
如果曾经打开过类似邮件的附件,请马上杀毒。
出处:蓝色理想
责任编辑:蓝色
|