现在病毒太多了

邮件病毒

病毒名称: Worm.Novarg.a
中文名称: 诺维格
威胁级别: 4A
病毒别名:W32/Mydoom@MM [McAfee]
　　　　　WORM_MIMAIL.R [Trend]
　　　　　W32.Novarg.A@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003

　　金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a)，该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击，造成系统和网络资源的严重浪费。
请立即升级金山毒霸病毒库到2004年1月27日的版本，即可完全处理该病毒。
技术特征：

1、创建如下文件：
%System%shimgapi.dll
%temp%Message， 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。
（注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；

3、添加如下注册表项：
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
使病毒可随机启动；
添加如下注册表项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
用于存储病毒的活动信息。

4、对www.sco.com实施拒绝服务（DoS)攻击, 创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；

5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；

7、邮件内容如下：
From: 可能是一个欺骗性的地址
主题:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

附件名称:
document
readme
doc
text
file
data
test
message
body

可能的后缀:
pif
scr
exe
cmd
bat
zip

8、拷贝自己到KaZaA的共享目录下，伪装成如下文件，后缀可能为(pif\scr\bat)，欺骗其它KaZaA用户下载，达到传播的目的：
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

解决方案:
1>升级毒霸病毒库到最新, 进行全盘查杀即可.
2>手工清除:
　<1>终止恶意程序:
　打开windows任务管理器.
　在windows95/98/ME系统中, 按CTRL+ALT+DELETE
　在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
　在运行程序列表中, 找到进程: taskmon.exe
　选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本).
　为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
　关掉任务管理器.
　*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.

　<2>删除注册表中的自启动项目:
　从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter
　在左边的面板中, 双击:
　HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　在右边的面板中, 找到并删除如下项目:
　TaskMon = %System%\taskmon.exe
　*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\Windows\System, 在WindowsNT和2000系统中是:WINNT\System32, 在Windows XP系统中是C:\Windows\System32.
　*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.

　<3>删除注册表中的其他恶意项目
　如下是删除注册表中其他恶意项目的说明.
　仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入"ComDlg32", 点击查找下一个.
　当像如下键值出现时, 删除键值和数据:
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　关闭注册表编辑器.

 
专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　duba.net 现已推出“在线病毒日历”，及时为您播报近期危险病毒，敬请关注；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

 

病毒信息

　　病毒名称: Worm.Novarg.b
　　中文名称: 诺维格变种
　　威胁级别: 3A
　　病毒别名: SCO炸弹变种 [瑞星]
　　　　　　　W32/Mydoom.b@MM [McAfee]
　　　　　　　WORM_MYDOOM.B [Trend]
　　　　　　　W32.Mydoom.b@mm [Symantec]
　　受影响系统: Win9x/NT/2K/XP/2003

　　“诺维格”变种B（又名：SCO炸弹，英文又名:Mydoom.b）使用和原版病毒相同的传播机制，但更恶毒的是该病毒攻击的目标开始转向微软，在向SCO发起DoS(拒绝服务)攻击的同时也向微软的官方网站发起相同的攻击。另外，此次变种还加入了对单机用户的影响，它屏蔽了许多知名反病毒厂商、网络安全厂商的官方网站地址和升级地址，造成一些单机用户的反病毒软件和网络防火墙不能正常升级。

　　技术特点

　　A.创建如下文件：
　　%System%\Ctfmon.dll
　　%Temp%\Message:这个文件由随机字母通组成。
　　%System%\Explorer.exe
　　（注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

　　B.添加如下注册表项：
　　HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
　　"Explorer" = "%System%\Explorer.exe"

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　"Explorer" = "%System%\Explorer.exe"

　　HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
　　\InProcServer32
　　%默认% = "%System%\ctfmon.dll"
　　以便病毒可随机自启动；

　　C.%System%\Ctfmon.dll的功能是一个代理服务器，开启后门；

　　D、病毒在如下后缀的文件中搜索电子邮件地址：
　　.htm
　　.sht
　　.php
　　.asp
　　.dbx
　　.tbb
　　.adb
　　.pl
　　.wab
　　.txt

　　E、使用病毒自身的SMTP引擎发送邮件，他优先选择下面的域名服务器发送邮件，如果失败，则使用本地的邮件服务器发送。
　　gate.
　　ns.
　　relay.
　　mail1.
　　mxs.
　　mx1.
　　smtp.
　　mail.
　　mx.
　　用“系统退信”的方式传播，使人防不胜防；

　　F、可能的邮件内容如下：
　　From: 可能是一个欺骗性的地址
　　主题:
　　Returned mail
　　Delivery Error
　　Status
　　Server Report
　　Mail Transaction Failed
　　Mail Delivery System
　　hello
　　hi

　　正文:
　　sendmail daemon reported:
　　Error #804 occured during SMTP session. Partial message has been received.
　　Mail transaction failed. Partial message is available.
　　The message contains Unicode characters and has been sent as a binary attachment.
　　The message contains MIME-encoded graphics and has been sent as a binary attachment.
　　The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

　　附件可能有双缀,如果有双后缀,则第一个可能的后缀如下:
　　.htm
　　.txt
　　.doc

　　第二个后缀可能如下:
　　.pif
　　.scr
　　.exe
　　.cmd
　　.bat
　　.zip
　　如果附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标

　　G.复制自身到Kazaa共享目录中，诱使其它KaZaa用户下载病毒。病毒复本的文件名如下:
　　icq2004-final
　　Xsharez_scanner
　　BlackIce_Firewall_Enterpriseactivation_crack
　　ZapSetup_40_148
　　MS04-01_hotfix
　　Winamp5
　　AttackXP-1.26
　　NessusScan_pro
　　扩展名可能如下:
　　.pif
　　.scr
　　.bat
　　.exe

　　H.修改系统hosts文件,屏蔽用户对以下网站的访问，造成不能升级反病毒等安全类软件:
　　ad.doubleclick.net
　　ad.fastclick.net
　　ads.fastclick.net
　　ar.atwola.com
　　atdmt.com
　　avp.ch
　　avp.com
　　avp.ru
　　awaps.net
　　banner.fastclick.net
　　banners.fastclick.net
　　ca.com
　　click.atdmt.com
　　clicks.atdmt.com
　　dispatch.mcafee.com
　　download.mcafee.com
　　download.microsoft.com
　　downloads.microsoft.com
　　engine.awaps.net
　　fastclick.net
　　f-secure.com
　　ftp.f-secure.com
　　ftp.sophos.com
　　go.microsoft.com
　　liveupdate.symantec.com
　　mast.mcafee.com
　　mcafee.com
　　media.fastclick.net
　　msdn.microsoft.com
　　my-etrust.com
　　nai.com
　　networkassociates.com
　　office.microsoft.com
　　phx.corporate-ir.net
　　secure.nai.com
　　securityresponse.symantec.com
　　service1.symantec.com
　　sophos.com
　　spd.atdmt.com
　　support.microsoft.com
　　symantec.com
　　update.symantec.com
　　updates.symantec.com
　　us.mcafee.com
　　vil.nai.com
　　viruslist.ru
　　windowsupdate.microsoft.com
　　www.avp.ch
　　www.avp.com
　　www.avp.ru
　　www.awaps.net
　　www.ca.com
　　www.fastclick.net
　　www.f-secure.com
　　www.kaspersky.ru
　　www.mcafee.com
　　www.microsoft.com
　　www.my-etrust.com
　　www.nai.com
　　www.networkassociates.com
　　www.sophos.com
　　www.symantec.com
　　www.trendmicro.com
　　www.viruslist.ru
　　www3.ca.com

　　I.从2004年2月1号开始开启多个线程对www.sco.com发动DOS攻击,从2月3日起对www.microsoft.com发起DOS攻击,直到2004年3月1日结束.

　　解决方案：

　　1、请升级您的金山毒霸到2004年1月30日的病毒库，并打开病毒防火墙和邮件防火墙来阻止病毒邮件的入侵；

　　2、如果收到系统退信时，请不要打开退信中的附件；

　　3、不要打开陌生人邮件；

　　4、改变文件的查看方式，让文件显示完整的扩展名，使病毒无处藏身。病毒常用后缀为：.bat, .cmd, .exe, .pif, .scr，.zip。
打开显示完整扩展名的方法：
　　A、打开资源管理器，单击“工具”，再单击“文件夹选项”
　　　
　　B、选择“查看”标签项
　　　　　
　　C、找到“隐藏已知文件类型的扩展名”，取消前面的“勾”
　　　　
　　D、点击“确定”即可。

　　5、请升级您的金山毒霸到2004年1月27日的病毒库，使全盘完全查杀来清除该病毒；

　　6、如果您没有金山毒霸，您可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入；

　　7、所有用户还可以尽快登录到 下载“诺维格”专杀工具，可解除病毒屏蔽的网站。

　　8、企业用户发现该病毒的形踪，请立即升级病毒库到最新，然后将中毒机器立即隔离出网络来查杀。开启邮件服务器的邮件过滤，将病毒邮件过滤。

9、杀毒完毕后，请下载专杀工具（）帮助修复HOSTS文件，解除病毒屏蔽的网站。

　　专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net)上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如前段时间的“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒

其实，反病毒软件都是慢半拍的，病毒已经蔓延了，他们才反应过来。
所以必须手动清除病毒，比较麻烦。很多人真的没电脑常识，很容易中病毒，中也不知道。

SCO公司目前也已经悬赏25万美元，征求任何有助于把“Mydoom”病毒的制造者绳之以法的信息。

　　本报专访

　　节后上班头件事：杀毒

　　针对最新在北美地区爆发的蠕虫病毒，记者今天上午专门致电金山毒霸公司事业部副总经理冯鑫，了解到该病毒目前在中国的传播情况和防杀手段。在接受记者采访时，冯鑫表示，“诺维格”病毒对企业用户的破坏性更大，春节长假结束后，企业用户的第一件事就是要尽快安装杀毒防毒软件。

　　28日上午国内就有感染报告

　　据冯鑫介绍，此次大规模爆发的新型蠕虫病毒Mydoom，又称Novarg，中文名称叫“小邮差变种”、“诺维格”。27日下午，该病毒首先在北美地区爆发，28日上午，国内就有感染报告。

　　截至到昨天下午为止，金山毒霸公司共接到近400个感染报告电话，并且多为个人消费用户。由于春节长假，国内企业尚未上班，所以目前接到的企业感染报告不多。冯鑫称，该病毒对企业用户的破坏性更大，估计长假结束后，会有更多的企业感染报告出现。

　　新病毒有两大坏

　　据冯鑫介绍，“诺维格”病毒具有两大破坏性。

　　●第一，它是一个以大量发送病毒邮件来拖垮邮件服务器的恶性蠕虫病毒，它的行为最终会导致邮件服务器的瘫痪，使正常的电子邮件交换不能运行。该病毒利用电子邮件传播，伪装成电子邮件系统的退信，邮件标题可能为“Error”、“MailTransactionFailed”、“ServerReportMailDeliverySystem”，附件后缀为“bat、cmd、exe、pif、scr、zip”，该附件即为病毒体。

　　用户如果不明就里，以为是自己寄出的信被退回而轻易打开，就会中招。

　　●第二，病毒在感染了用户电脑之后，附件会在电脑服务器中驻留一个黑客程序，给黑客攻击提供一个通道。

　　据悉，受感染的计算机将在2月1日开始攻击，延续到2月12日。采用微软最新版本Windows和任何电子邮件程序的用户都可能感染病毒，受影响的系统包括Windows95、Windows98、WindowsME、Win鄄dowsNT、Windows2000及WindowsXP。目前在香港、亚太区及世界各地已发现过多家机构受到感染。

　　金山毒霸提供免费杀毒软件

　　据冯鑫介绍，金山毒霸公司在昨天上午已经完成了对金山毒霸软件的升级工作，安装了金山杀毒软件的用户，只要进行软件升级即可确保平安无事。对于那些没有安装毒霸杀毒软件的用户，金山公司也在其网站 duba.net 上提供了免费的专杀工具软件下载，并开辟了“诺维格”病毒专题，详细介绍该病毒的情况和解决方案。

到28日早晨为止，新型电脑病毒“Mydoom”(又名“Novarg”)在从出现至今的短短36个小时内已经在互联网上发出了约1亿封含有这种病毒的电子邮件，刷新了此前由“大无极”病毒创下的扩散速度记录。目前，美国联邦调查局(FBI)已经对此展开调查。

　　目前，国内已出现个人用户病毒感染报告。金山毒霸公司在接受本报记者采访时表示，企业用户在春节上班后的第一件事就是尽快杀毒。

　　威力超过“SoBig”

　　芬兰网络安全公司“F-安全”的电脑病毒专家米科?希珀恩说：“从发出的电子邮件数量来看，‘Mydoom’已经超过‘大无极’，成为迄今为止最大规模的一次电脑病毒爆发。在全球范围内，它已经发出了超过1亿封被感染的电子邮件。”

　　病毒藏在附件里

　　“Mydoom”病毒于1月26日下午开始在互联网上蔓延。病毒专家说，感染这种病毒的电脑可以被黑客入侵，同时病毒蔓延还会造成互联网通信堵塞。

　　著名电脑安全软件公司赛门铁克说，这种病毒的攻击对象是装有微软视窗操作系统的电脑。这种病毒一般隐藏在电子邮件附件中，当用户打开邮件附件时，病毒便发作。黑客可以借此记录用户的键盘输入内容，包括各种登录名、密码等。

　　此外，受病毒感染的电脑会在30秒内向用户邮箱通讯录中储存的电子邮件地址发送含有病毒的邮件。

　　当成千上万封这种病毒邮件在网上传输时，会造成互联网通信堵塞。

　　“中弹”电脑集中在美加

　　通常电脑病毒爆发后24小时，随着越来越多的电脑使用者对自己的防病毒软件进行更新，这种病毒的危害就会逐渐减轻。然而，从26日发现到28日早晨，已经过去了36小时，但“Mydoom”病毒却还没有就此“罢休”的迹象，仍在继续迅速向世界各地扩散。电脑病毒专家说，按目前的扩散速度，它很有可能将在不到3天的时间里超过“大无极”7天内感染3亿封电子邮件的记录。

　　希珀恩说，到目前为止，全球被“Mydoom”感染的电脑约在39万至50万台之间。由于该病毒最初出现是在欧洲时间26日晚，而那时北美洲正值通常的白天工作时间，因此大多数被感染的电脑都在美国和加拿大。在世界其他国家，电脑专家们则有时间赶在27日早晨人们上班前更新各公司的防病毒软件，所以也在一定程度上遏制了这种病毒的进一步蔓延。

　　联邦调查局介入

　　美国纽约电脑安全公司“信息实验室”市场部主管布赖恩?恰尔内28日说，该公司调查发现，当天平均每12封电子邮件中就有一封感染了“Mydoom”病毒，而当初“大无极”爆发时，平均每17封邮件中才有一封被感染。　　由于“Mydoom”病毒会操纵被感染电脑对设在美国犹他州的Unix操作系统开发商SCO公司的网站发送大量信息，使其过载，因此联邦调查局已经认定该病毒是专门针对这一公司，并就此展开调查。[未结束]

　ChinaByte1月30日消息 “MyDoom”电子邮件病毒仅出现几天，并且还在蔓延，但是，至少已经有一家安全公司把这种病毒称作是迄今为止最厉害的病毒。

　　芬兰安全软浆和服务公司F-Secure星期三（1月28日）晚些时候就宣布“MyDoom”是迄今为止传播速度最快的病毒。该公司的研究经理MikkoHypponen在一封信中写道，“MyDoom”是病毒历史上最厉害的电子邮件蠕虫。

　　“MyDoom”是在1月26日开始出现在互联网上的，并且迅速阻塞了电子邮件服务器，因为这种蠕虫带有恶意软件代码，能够成百万地进行自我复制。这种蠕虫1月28日出现了一种变体，但是传播速度没有以前那样快了。

　　F-Secure公司预计，这种蠕虫的传播1月28日占全球电子邮件通信量的20%至30%，超过了诸如SoBig.F等蠕虫的传播速度。

　　F-Secure表示，这种蠕虫传播速度快的因素包括：积极的搜集电子邮件地址的能力和适宜的发布时间。这种蠕虫是在北美工作日的中间发布的，使这种蠕虫在企业网络发现之前有好几个小时的传播时间。

　　其它安全公司的评估也同样可怕。MessageLabs公司表示，它已经截获了340万份“MyDoom”病毒邮件。在高峰期，每12份邮件就有一封邮件受到这种蠕虫的感染。而SoBig.F病毒在传播的高峰期，该公司截获的数量是330万份，每17封邮件有一封邮件受到SoBig.F病毒的感染。“MyDoom”病毒在MessageLabs公司的最活跃病毒排行榜上已经名列第五位，超过了“SirCam”病毒。

　　安全软件和服务公司NetworkAssociates周四预测，全球有40万至50万台电脑受到了“MyDoom”蠕虫的感染。感染率在大客户中是每10封邮件有一封受到感染。在小客户中，每三封邮件有一封受到感染。这表明，这种病毒主要集中在安全防护措施薄弱的家庭用户

都蠕虫病毒啊，不过有点常识，应该一看就知道啦。

查了一下，没中

呵呵，原来如此 :cool:
大家好!我是新来的，多多关照 :P

俺们都是灌水灌成老大的 :D :D :D :D要找技术上的老大得去技术论坛

病毒提醒：W32.Novarg.A@mm  又称：W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Associates], W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]

在SYMANTEC网站上被评为“4级”危险。

W32.Novarg.A@mm 是一个通过扩展名为 .bat、.cmd、.exe、.pif、.scr 或 .zip 的附件传播的四级群发邮件蠕虫。



奇怪啊～～～，灌水的怎么都是老大级别的人物啊？我是不是来错地方了？ ;)

整天说病毒病毒的，我怎么就从来没中过招呢？装了个诺顿也无用武之地 :( :( :( :(郁闷……

都蠕虫病毒啊，不过有点常识，应该一看就知道啦。