Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Mydoom.CD
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:28.160 字节
MD5 校检和:eda0ab20b95a3722b04101490D340E20
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 电子邮件
   • 对等网络


别名:
   •  Kaspersky: Email-Worm.Win32.Gurong.a
   •  TrendMicro: WORM_MYDOOM.BK

它之前被检测为:
   •  Worm/Mydoom.CD.2


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载恶意文件
   • 使用自置的电子邮件引擎
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\wmedia16.exe



它会删除其本身最初执行的副本。



创建以下文件:

– 之后可删除的临时文件:
   • %TEMPDIR%\removeMe%数字%.bat
   • %TEMPDIR%\tmp%十六进制数%.tmp




它会尝试下载文件:

– 这些位置如下所示:
   • 65.19.**********
   • 64.62.**********
它会保存在硬盘驱动器以下的位置: c:\mp.exe 成功下载后执行。 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Mydoom.CD.1

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WMedia16 = wmedia16.exe

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。
机器生成的地址。 请不要认为向您发送此电子邮件是出于发件人的本意。 他可能并不知道计算机已被感染,甚至可能根本没有被感染。 此外,您可能还会收到一些退回的电子邮件,通知您已被感染。 情况也可能不是这样。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 程序生成的地址


主题:
以下某项内容:
   • Re: I got it! Try it now!
   • Re[2]: wazzup bro
   • Re: Hello
   • Greetings!
   • Hey dear!
   • Hello friend ;)
   • Wazzap bro!!
   • Hey! How are you doing bud?

在某些情况下,主题也可能被空置。
主题可能包含随机字母。


正文:
– 在有些情况下,它可能是空的。
– 在某些情况下,它可能包含随机字符。
电子邮件的正文如以下某行所示:
   • Hey dear! Here is my photos, as I promised.
   • Hello bro! Here is my new girlfriend's photo! Check it out!
   • Hey man! Take a look at attachment!
   • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
   • Whatz up man! There is my nude 17-yr sister in the attachment!
   • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
   • Greetings. Here is some my nude photos in the attachment.
   • Hey bro! Check out attachment! There is a new plug-in for skype!
   • Hello! I sent you new skype plug-in, as you wished.
   • Hello! There is NEW plug-in for MSN. Try it out!
   • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
   • Hey friend! Try this new smiles pack for MSN messenger!


附件:
附件的文件名包含以下内容:

–  其开头是以下某项内容:
   • body
   • i_love_u
   • i_luv_u
   • conf_data
   • port_imgs
   • sex_pics
   • doc
   • sex_girls
   • document
   • %随机字符串%

    使用以下其中项文件扩展名 :
   • .bat
   • .cmd
   • .exe
   • .pif
   • .scr
   • .zip



电子邮件可能如下所示:



 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • txt
   • htm
   • sht
   • php
   • asp
   • dbx
   • tbb
   • adb
   • wab


为 TO (“收件人”) 和 FROM (“发件人”) 字段生成地址:
为了生成地址,它会使用以下字符串:
   • john; john; alex; michael; james; mike; kevin; david; george; sam;
      andrew; jose; sandra; den; dmitry; vlad; alexey; olga; leo; maria;
      jim; brian; serg; mary; ray; tom; peter; robert; bob; jane; linda;
      craig; jayson; lee; cyber; frank; joe; dan; dave; matt; steve; smith;
      adam; brent; alice; anna; brenda; claudia; debby; helen; jerry; jimmy;
      julie; linda; marina; vladimir; nikolay; gerhard; ilya; boris

它会将此字符串与以下列表中的域组合在一起,或者与在系统上的文件内找到的地址中的域组合在一起

该域是以下某个域:
   • yahoo.com
   • msn.com
   • earthlink.net
   • aol.com
   • hotmail.com


避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • .aero; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      alert; page; the.bat; fethard; gold-certs; feste; submit; not; help;
      service; privacy; somebody; soft; contact; site; rating; bugs; you;
      your; someone; AccountRobot; anyone; nothing; nobody; noone;
      webmaster; webmoney; postmaster; samples; info; root; fraud; accoun;
      google; certific; listserv; linux; bsd; unix; ntivi; support;
      icrosoft; admin; spm; fcnz; www; secur; abuse; .edu;


前面追加 MX 字符串:
为了获取电子邮件服务器的 IP 地址,它能够在域名前追加以下字符串:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P 为了感染对等网络社区中的其他系统,会执行以下操作:  


   它会通过查询以下注册表项来检索共享文件夹:
   • HCKU\Software\Kazaa\Transfer\DlDir0

   如果成功,会创建以下文件:
   • winamp5.bat; icq5.bat; xp_activation.bat; strip-girl4.bat0c.bat;
      dcom_patches.bat; lsas_patches.bat; msblast_patches.bat;
      skype_video.bat; 0day_patch.bat; office_crack.bat;
      trillian_crack_all.bat; winamp5.cmd; icq5.cmd; xp_activation.cmd;
      strip-girl4.cmd0c.cmd; dcom_patches.cmd; lsas_patches.cmd;
      msblast_patches.cmd; skype_video.cmd; 0day_patch.cmd;
      office_crack.cmd; trillian_crack_all.cmd; winamp5.exe; icq5.exe;
      xp_activation.exe; strip-girl4.exe0c.exe; dcom_patches.exe;
      lsas_patches.exe; msblast_patches.exe; skype_video.exe;
      0day_patch.exe; office_crack.exe; trillian_crack_all.exe; winamp5.pif;
      icq5.pif; xp_activation.pif; strip-girl4.pif0c.pif; dcom_patches.pif;
      lsas_patches.pif; msblast_patches.pif; skype_video.pif;
      0day_patch.pif; office_crack.pif; trillian_crack_all.pif; winamp5.scr;
      icq5.scr; xp_activation.scr; strip-girl4.scr0c.scr; dcom_patches.scr;
      lsas_patches.scr; msblast_patches.scr; skype_video.scr;
      0day_patch.scr; office_crack.scr; trillian_crack_all.scr; winamp5.zip;
      icq5.zip; xp_activation.zip; strip-girl4.zip0c.zip; dcom_patches.zip;
      lsas_patches.zip; msblast_patches.zip; skype_video.zip;
      0day_patch.zip; office_crack.zip; trillian_crack_all.zip

   这些文件是恶意软件本身的副本。

 其他 互联网连接:


通过访问以下网站来检查 Internet 连接:
   • http://windowsupdate.microsoft.com


Mutex:
它会创建以下 Mutex:
   • systemHNDLR9r21

 Rootkit 技术 它使用特定的恶意软件技术。 该恶意软件会对系统实用程序和安全应用程序隐藏其自身,并且最终会对用户隐藏其自身。


隐藏以下内容:
– 它自身的文件
– 它自身的进程
– 它自身的注册表项


使用的方法:
    • 对 Windows API 隐藏

挂钩以下 API 功能 :
   • NtClose/ZwClose
   • NtCreateFile/ZwCreateFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtEnumerateValueKey/ZwEnumerateValueKEy
   • NtOpenFile/ZWOpenFile
   • NtQueryDirectoryFile/ZwQueryDirectoryFile

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • UPX

Açıklamayı yerleştiren Andrei Gherman tarihinde 22 Mart 2006 Çarşamba
Açıklamayı güncelleyen: Andrei Gherman tarihinde 30 Mart 2006 Perşembe

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.