| 作者: it , Jan 29,2004,14:24 | 回贴 | 论坛 |
|
|
2004年1月27日,网络联盟旗下的防病毒紧急响应小组(Anit-Virus Emergency Response Team, AVERT),将最新发现的“W32/Mydoom@mm”(或称Mydoom)蠕虫评定为“高级风险”级别。Mydoom由McAfee AVERT在本周一发现,是一种经电子邮件广泛传播的破坏性病毒,能自动把附毒电子邮件模仿成文本文件发给受感染者通讯簿上的人士。受影响的系统包括Windows 95、Windows 98、Windows ME、Windows NT、Windows 2000及Windows XP。目前在香港、亚太区及世界各地已发现过多家机构受到感染。 Mydoom能自建地址把病毒迅速扩散,因此其将极有可能成为高危毒虫。McAfee建议企业及家庭用户采取积极行动,例如安装和更新网络及桌面计算机防火墙、加强安全权限,更新防毒软件,以防御Mydoom入侵。 病毒特征Mydoom为一种互联网蠕虫,开启Windows Notepad后便随即激活,显示出一些怪异字体。病毒能透过Windows系统自行安装程序,让黑客远程控制计算机。该病毒能自动复制,并以电子邮件传送给共享名录中的Kazaa用户。用户应实时删除含有下列内容标题的电子邮件: 寄件者:(伪装) 主题:(随机)电邮内容:(各式各样) 附件:(含各种不同文件名称,普遍以EXE、.PIF、.CMD或22,528位的.SCR ZIP档案为主) 蠕虫症状Mydoom一旦激活后,便会以附件形式自行传送,文件名称为c:\Program Files\KaZaA\My Shared Folder\activation_crack.scr、c:\WINDOWS\Desktop\Document.scr及c:\WINDOWS\SYSTEM\taskmon.exe。病毒档案模仿为文本文件类型,藉以鱼目混珠。Mydoom更采用DLL建立Windows系统目录c:\WINDOWS\SYSTEM\shimgapi.dll,并尝试操控Windows激活程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe。Mydoom开启TCP 3127端口,让远程攻击者有机可乘。 清除方法查询病毒的资料或下载有关除毒方案,请浏览McAfee AVERT网站: http://vil.nai.com/vil/content/v_100983.htm。McAfee用户亦可透过该网站,下载更新软件。 |