Worm_Mydoom.M简介_Worm_Mydoom.M个人资料_Worm_Mydoom.M微博_百科网
A-A+

Worm_Mydoom.M简介_Worm_Mydoom.M个人资料_Worm_Mydoom.M微博

2018-06-14 16:02:31 自然百科 阅读 7 次

名称/Worm_Mydoom.M 编辑

 Worm_Mydoom.M

相关资料/Worm_Mydoom.M 编辑

病毒名称:Worm_Mydoom.M
其它命名:Worm.Novarg.an(瑞星)
          WORM_MYDOOM.BB(趋势)
          W32/Mydoom.bb@MM (McAfee)
          W32.Mydoom.AX@mm(Symantec)
          Worm.Win32.Mydoom.am (Kaspersky)
病毒类型:蠕虫
病毒大小:25,771字节
受影响系统: WinME/Win9x/WinNT/Win2000/WinXP
病毒特性:

   

1、生成文件

    蠕虫运行后,会在%System%目录下生成自身拷贝java.exe,并且还会在Windows临时目录中创建日志文件 Zincite.log,该文件包含病毒使用的一些数据。它同时创建一个互斥体,互斥体的名称来自它被执行系统的主机名。

2、修改注册表项

    病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 下添加
JavaVM="%Windows%java.exe"
Services="%Windows%services.exe"
( %Windows%代表Windows 文件夹,通常是C:Windows 或 C:WINNT.)
还会创建如下注册表键作为病毒感染的标记:
HKEY_LOCAL_MACHINESoftwareMicrosoftDaemon

3、通过邮件传播

    该病毒通过SMTP并利用邮件进行传播。首先,病毒会检查网络连接和本地DNS服务器的连接。随后,病毒还会搜索与目标地址域名相符的邮件交换器,一旦发现,病毒就会使用这些搜索到的邮件交换器作为自己的SMTP服务器,通过邮件向外传播。

4、后门功能

    该病毒在%Windows%文件夹中产生一个名为SERVICES.EXE的后门组件,它可以通过打开TCP端口1034来等待自外部的连接请求。这样一来,一些恶意破坏程序以及黑客木马程序就有可能借机通过该端口进入到受感染的计算机内,造成计算机瘫痪,无法使用等严重后果。