惡性蠕蟲-諾維格(Novarg/Mydoom)分析報告

病毒名稱: Worm.Novarg.a
中文名稱: 諾維格
威脅級別: 4A
病毒別名:W32/Mydoom@MM [McAfee]
　　　　　WORM_MIMAIL.R [Trend]
　　　　　W32.Novarg.A@mm [Symantec]
受影響系統: Win9x/NT/2K/XP/2003

　　反病毒實驗室應急處理中心于當日在國內率先截獲4A級惡性蠕蟲病毒“諾維格”(Worm.Novarg.a)，該蠕蟲病毒利用自帶的SMTP引擎來發送病毒郵件，利用點對點工具的共享目錄來欺騙下載。病毒發作時會啟動64個線程進行DoS攻擊，造成系統和網絡資源的嚴重浪費。
請立即升級金山毒霸病毒庫到2004年1月27日的版本，即可完全處理該病毒。

技術特征：

1、創建如下文件：
%System%shimgapi.dll
%temp%Message， 這個文件由隨機字母通組成。
%System%taskmon.exe, 如果此文件存在，則用病毒文件覆蓋。
（注：%system%為系統目錄，對于Win9x系統，目錄為windows\system。對于NT及以上系統為Winnt\system32或Windows\system32。%temp%為系統臨時目錄，在“運行”的窗口輸入%temp%及可調出臨時目錄的所在位置。）

2、Shimgapi.dll的功能是在被感染的系統內創建代理服務器，并開啟3127到3198范圍內的TCP端口進行監聽；

3、添加如下注冊表項：
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
使病毒可隨機啟動；
添加如下注冊表項：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
用于存儲病毒的活動信息。

4、對www.sco.com實施拒絕服務（DoS)攻擊, 創建64個線程發送GET請求，這個DoS攻擊將從2004年2月1延續到2004年2月12日；

5、在如下后綴的問中搜索電子郵件地址，但忽略以.edu結尾的郵件地址：
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

6、使用病毒自身的SMTP引擎發送郵件，他選擇狀態良好的服務器發送郵件，如果失敗，則使用本地的郵件服務器發送；

7、郵件內容如下：
From: 可能是一個欺騙性的地址
主題:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

附件名稱:
document
readme
doc
text
file
data
test
message
body

可能的后綴:
pif
scr
exe
cmd
bat
zip

8、拷貝自己到KaZaA的共享目錄下，偽裝成如下文件，后綴可能為(pif\scr\bat)，欺騙其它KaZaA用戶下載，達到傳播的目的：
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

解決方案:
1>升級毒霸病毒庫到最新, 進行全盤查殺即可.
2>手工清除:
　<1>終止惡意程序:
　打開windows任務管理器.
　在windows95/98/ME系統中, 按CTRL+ALT+DELETE
　在Windows NT/2000/XP 系統中, 按CTRL+SHIFT+ESC, 然后點擊進程選項卡.
　在運行程序列表中, 找到進程: taskmon.exe
　選擇惡意程序進程, 然后點擊結束任務或結束進程按鈕（取決于windows的版本).
　為了檢查惡意程序是否被終止, 關掉任務管理器, 然后再打開.
　關掉任務管理器.
　*注意: 在運行windows95/98/ME的系統中, 任務管理器可能不會顯示某一進程. 可以使用其他進程查看器來終止惡意程序進程. 否則, 繼續處理下面的步驟, 注意附加說明.

　<2>刪除注冊表中的自啟動項目:
　從注冊表中刪除自動運行項目來阻止惡意程序在啟動時執行.
　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter
　在左邊的面板中, 雙擊:
　HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　在右邊的面板中, 找到并刪除如下項目:
　TaskMon = %System%\taskmon.exe
　*注意: %System%是Windows的系統文件夾, 在Windows 95, 98, 和ME系統中通常是 C:\Windows\System, 在WindowsNT和2000系統中是:WINNT\System32, 在Windows XP系統中是C:\Windows\System32.
　*注意: 如果不能按照上述步驟終止在內存中運行的惡意進程, 請重啟系統.

　<3>刪除注冊表中的其他惡意項目
　如下是刪除注冊表中其他惡意項目的說明.
　仍舊在注冊表編輯器中, 在菜單條中點擊編輯>查找, 在文本領域中輸入"ComDlg32", 點擊查找下一個.
　當像如下鍵值出現時, 刪除鍵值和數據:
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　關閉注冊表編輯器.

,

原文轉自：http://www.kjueaiud.com