Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Mydoom.BH.1
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:中等程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:131.072 字节
MD5 校检和:1aec7aebd916c3862131af0F7fe46da2
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 电子邮件


别名:
   •  Mcafee: W32/Mydoom.gen@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.bh
   •  F-Secure: Email-Worm.Win32.Mydoom.bh
   •  Sophos: W32/MyDoom-BX
   •  Panda: W32/Mydoom.DL.worm
   •  Grisoft: I-Worm/Generic.BXO
   •  Eset: Win32/Mydoom.NA
   •  Bitdefender: Generic.Mydoom.4C96A5D8


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 阻止对安全网站的访问
   • 使用自置的电子邮件引擎
   • 降低系统安全设置
   • 注册表修改
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %SYSDIR%\dvupdate.exe



它会删除其本身最初执行的副本。



创建以下文件:

– 供临时使用且之后可删除的文件:
   • %TEMPDIR%\tmp%十六进制数%.tmp

– %TEMPDIR%\%随机字符串%.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Driver Update="%SYSDIR%\dvupdate.exe"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址


主题:
以下某项内容:
   • A friendly warning
   • Greetings. Please read on.
   • Hello there! Read on.
   • Hey, just warning you
   • HEY, THIS IS KINDA URGENT
   • Some important information
   • You might want to read this...
   • You need to protect yourself

在某些情况下,主题也可能被空置。
主题可能包含随机字母。


正文:
– 它是用正则表达式(regex)构造的。
– 在有些情况下,它可能是空的。
– 在某些情况下,它可能包含随机字符。

 
电子邮件的正文如下所示:

   • I don't know if you have heard yet or not but there's a deadly computer virus going around lately...
     I got caught by it the other day and lost all my files.
     Luckily Microsoft just released a fix which will protect you from it.
     I've attached the fix to this email, so you'll be fine if you install it
     Please open the attached file. It contains very important information concerning you.

   • Please open the attached file. It contains very important information concerning you.

   • I found a file that has a lot of information about YOU in it, I thought you might want to know about it.
     It's attached to this email, so open it if you're interested.

   • Hey, I assume you've heard about that new computer virus?
     A friend of mine got hit by it the other day and lost EVERY file on his compuiter.
     I attached a fix for it to this email, so you should be fine if you install it.
     Good luck!


附件:
附件的文件名包含以下内容:

–  其开头是以下某项内容:
   • ReadMe_TXT
   • ReadThisNow_TXT
   • UrgentInfo
   • MSWinFix
   • MSHotFix_Latest
   • Latest_Patch
   • Info_Doc
   • ImportantInfo
   • %随机字符串%

    使用以下其中项文件扩展名 :
   • .exe
   • .zip

该附件是恶意软件本身的副本。

该附件是包含恶意软件本身副本的存档。



电子邮件如下所示:


 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


为 TO (“收件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

它会使用与上面所述相同的域列表。

该域是以下某个域:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; -._!@; -._!;
      spm; fcnz; www; abuse; .edu


MX 服务器:
它不使用标准 MX 服务器。
它能够访问以下某台 MX 服务器:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,现有项目会被删除。

– 阻挡以下域名的访问:
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • kaspersky-labs.com
   • www.kaspersky.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • pandasoftware.com
   • www.pandasoftware.com
   • www.trendmicro.com
   • www.grisoft.com
   • www.microsoft.com
   • microsoft.com
   • update.microsoft.com
   • www.virustotal.com
   • virustotal.com
   • www.ahnlab.com
   • suc.ahnlab.com
   • auth.ahnlab.com
   • ahnlab.com




修改后的hosts 文件将如下所示:


 后门程序 访问服务器:
以下内容:
   • io.phatnet.**********:7001

因此可提供远程控制功能。

发送有关以下内容的信息:
    • 恶意软件运行时间


远程控制功能:
    • 下载文件
    • 执行文件
    • 结束进程
    • 移动文件

 其他 Mutex:
它会创建以下 Mutex:
   • doom1

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Beschrijving ingevoegd door Monica Ghitun op woensdag 3 oktober 2007
Beschrijving bijgewerkt door Monica Ghitun op donderdag 4 oktober 2007

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.