諾維格變種(Mydoom.b)分析報告及解決方案

病毒信息

　　病毒名稱: Worm.Novarg.b
　　中文名稱: 諾維格變種
　　威脅級別: 3A
　　病毒別名: SCO炸彈變種 [瑞星]
　　　　　　　W32/Mydoom.b@MM [McAfee]
　　　　　　　WORM_MYDOOM.B [Trend]
　　　　　　　W32.Mydoom.b@mm [Symantec]
　　受影響系統: Win9x/NT/2K/XP/2003

　　“諾維格”變種B（又名：SCO炸彈，英文又名:Mydoom.b）使用和原版病毒相同的傳播機制，但更惡毒的是該病毒攻擊的目標開始轉向微軟，在向SCO發起DoS(拒絕服務)攻擊的同時也向微軟的官方網站發起相同的攻擊。另外，此次變種還加入了對單機用戶的影響，它屏蔽了許多知名反病毒廠商、網絡安全廠商的官方網站地址和升級地址，造成一些單機用戶的反病毒軟件和網絡防火墻不能正常升級。

　　技術特點

　　A.創建如下文件：
　　%System%\Ctfmon.dll
　　%Temp%\Message:這個文件由隨機字母通組成。
　　%System%\Explorer.exe
　?。ㄗⅲ?system%為系統目錄，對于Win9x系統，目錄為windows\system。對于NT及以上系統為Winnt\system32或Windows\system32。%temp%為系統臨時目錄，在“運行”的窗口輸入%temp%及可調出臨時目錄的所在位置。）

　　B.添加如下注冊表項：
　　HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
　　"Explorer" = "%System%\Explorer.exe"

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　"Explorer" = "%System%\Explorer.exe"

　　HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
　　\InProcServer32
　　%默認% = "%System%\ctfmon.dll"
　　以便病毒可隨機自啟動；

　　C.%System%\Ctfmon.dll的功能是一個代理服務器，開啟后門；

　　D、病毒在如下后綴的文件中搜索電子郵件地址：
　　.htm
　　.sht
　　.php
　　.asp
　　.dbx
　　.tbb
　　.adb
　　.pl
　　.wab
　　.txt

　　E、使用病毒自身的SMTP引擎發送郵件，他優先選擇下面的域名服務器發送郵件，如果失敗，則使用本地的郵件服務器發送。
　　gate.
　　ns.
　　relay.
　　mail1.
　　mxs.
　　mx1.
　　smtp.
　　mail.
　　mx.
　　用“系統退信”的方式傳播，使人防不勝防；

　　F、可能的郵件內容如下：
　　From: 可能是一個欺騙性的地址
　　主題:
　　Returned mail
　　Delivery Error
　　Status
　　Server Report
　　Mail Transaction Failed
　　Mail Delivery System
　　hello
　　hi

　　正文:
　　sendmail daemon reported:
　　Error #804 oclearcase/" target="_blank" >ccured during SMTP session. Partial message has been received.
　　Mail transaction failed. Partial message is available.
　　The message contains Unicode characters and has been sent as a binary attachment.
　　The message contains MIME-encoded graphics and has been sent as a binary attachment.
　　The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

　　附件可能有雙綴,如果有雙后綴,則第一個可能的后綴如下:
　　.htm
　　.txt
　　.doc

　　第二個后綴可能如下:
　　.pif
　　.scr
　　.exe
　　.cmd
　　.bat
　　.zip
　　如果附件是個exe或scr文件的擴展名,則顯示的是一個文本文件的圖標

　　G.復制自身到Kazaa共享目錄中，誘使其它KaZaa用戶下載病毒。病毒復本的文件名如下:
　　icq2004-final
　　Xsharez_scanner
　　BlackIce_Firewall_Enterpriseactivation_crack
　　ZapSetup_40_148
　　MS04-01_hotfix
　　Winamp5
　　AttackXP-1.26
　　NessusScan_pro
　　擴展名可能如下:
　　.pif
　　.scr
　　.bat
　　.exe

　　H.修改系統hosts文件,屏蔽用戶對以下網站的訪問，造成不能升級反病毒等安全類軟件:
　　ad.doubleclick.net
　　ad.fastclick.net
　　ads.fastclick.net
　　ar.atwola.com
　　atdmt.com
　　avp.ch
　　avp.com
　　avp.ru
　　awaps.net
　　banner.fastclick.net
　　banners.fastclick.net
　　ca.com
　　click.atdmt.com
　　clicks.atdmt.com
　　dispatch.mcafee.com
　　download.mcafee.com
　　download.microsoft.com
　　downloads.microsoft.com
　　engine.awaps.net
　　fastclick.net
　　f-secure.com
　　ftp.f-secure.com
　　ftp.sophos.com
　　go.microsoft.com
　　liveupdate.symantec.com
　　mast.mcafee.com
　　mcafee.com
　　media.fastclick.net
　　msdn.microsoft.com
　　my-etrust.com
　　nai.com
　　networkassociates.com
　　office.microsoft.com
　　phx.corporate-ir.net
　　secure.nai.com
　　securityresponse.symantec.com
　　service1.symantec.com
　　sophos.com
　　spd.atdmt.com
　　support.microsoft.com
　　symantec.com
　　update.symantec.com
　　updates.symantec.com
　　us.mcafee.com
　　vil.nai.com
　　viruslist.ru
　　windowsupdate.microsoft.com
　　www.avp.ch
　　www.avp.com
　　www.avp.ru
　　www.awaps.net
　　www.ca.com
　　www.fastclick.net
　　www.f-secure.com
　　www.kaspersky.ru
　　www.mcafee.com
　　www.microsoft.com
　　www.my-etrust.com
　　www.nai.com
　　www.networkassociates.com
　　www.sophos.com
　　www.symantec.com
　　www.trendmicro.com
　　www.viruslist.ru
　　www3.ca.com

　　I.從2004年2月1號開始開啟多個線程對www.sco.com發動DOS攻擊,從2月3日起對www.microsoft.com發起DOS攻擊,直到2004年3月1日結束.

　　解決方案：

　　1、請升級您的到2004年1月30日的病毒庫，并打開病毒防火墻和郵件防火墻來阻止病毒郵件的入侵；

　　2、如果收到系統退信時，請不要打開退信中的附件；

　　3、不要打開陌生人郵件；

　　4、改變文件的查看方式，讓文件顯示完整的擴展名，使病毒無處藏身。病毒常用后綴為：.bat, .cmd, .exe, .pif, .scr，.zip。
打開顯示完整擴展名的方法：
　　A、打開資源管理器，單擊“工具”，再單擊“文件夾選項”
　　　
　　B、選擇“查看”標簽項
　　　　　
　　C、找到“隱藏已知文件類型的擴展名”，取消前面的“勾”
　　　　
　　D、點擊“確定”即可。

　　5、請升級您的金山毒霸到2004年1月27日的病毒庫，使全盤完全查殺來清除該病毒；

　　6、如果您沒有金山毒霸，您可以登錄使用金山毒霸的在線查毒或是金山毒霸下載版來防止該病毒的侵入；

　　7、所有用戶還可以盡快登錄到 下載“諾維格”專殺工具，可解除病毒屏蔽的網站。

　　8、企業用戶發現該病毒的形蹤，請立即升級病毒庫到最新，然后將中毒機器立即隔離出網絡來查殺。開啟郵件服務器的郵件過濾，將病毒郵件過濾。

9、殺毒完畢后，請下載專殺工具（）幫助修復HOSTS文件，解除病毒屏蔽的網站。 ,

原文轉自：http://www.kjueaiud.com