Worm.Mydoom.ai

   

     

病毒别名：
处理时间：2005-01-18
威胁级别：★★
中文名称：
病毒类型：蠕虫
影响系统：Win9x / WinNT
病毒行为:
该蠕虫通过电子邮件和P2P软件共享进行传播，伪装为反病毒公司、世界银行、XXX网站、或IFCC的信件之一诱使用户打开附件。病毒图片为记事本图标。病毒运行后，会打开记事本，并显示一些垃圾数据。然后在用户硬盘上寻找电子邮件地址，以散发病毒邮件。病毒还会修改安全软件网站的IP转向，使得用户的安全软件无法正常升级。

1、病毒生成以下文件：
%System%\lsasrv.exe
%System%\version.ini
%System%\hserv.sys

2、在注册表中添加如下键值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"lsass" = "%System%\lsasrv.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "explorer.exe %System%\lsasrv.exe"

以便在每次重启机器时，病毒可以自动运行。

3、添加以下注册表键：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellSmash
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellSmash


4、在临时目录中生成一个名为Mes#wtelw文件，并用记事本打开，其内容为垃圾数据


5、创建以下互斥量：
-=RTSW.Smash=-

6、修改Host文件
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com

以禁止感染机器访问这些网站

7、尝试中止以下进程运行：
i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
taskmon.exe
wincfg32.exe
outpost.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe


8、使用以下名称，将自身复制到eDonkey、iMesh、Kazaa、 LimeWire，以及 Morpheus 等P2P软件的共享目录中：
porno
NeroBROM6.3.1.27
avpprokey
Ad-awareref01R349
winxp_patch
adultpasswds
dcom_patches
K-LiteCodecPack2.34a
activation_crack
icq2004-final
winamp5 q

下载以下两个文件
http://nermasteno.com\com.txt
http://opsanted.com\com.txt


9、在感染计算机中所有以下后缀名文件中搜集电子邮件地址：
.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.dbx
.dlt
.dwt
.edm
.hta
.htc
.htm
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tpl
.txt
.vbp
.vbs
.wab
.wml
.xht
.xml
.xsd
.xst

10、如果找到的电子邮件中含有以下字符，则不发送
accoun
certific
listserv
ntivi
support
icrosoft
admin
page
the.bat
gold-certs
feste
submit
not
help
service
privacy
somebody
soft
contact
site
rating
bugs
you
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
samples
info
root
mozilla
utgers.ed
tanford.e
pgp
acketst
secur
isc.o
isi.e
ripe.
arin.
sendmail
rfc-ed
ietf
iana
usenet
fido
linux
kernel
google
ibm.com
fsf.
gnu
mit.e
bsd
math
unix
berkeley
foo.
.mil
gov.
.gov
ruslis
nodomai
mydomai
example
inpris
borlan
sopho
panda
hotmail
msn.
icrosof
syma
avp
.edu
abuse
www
fcnz
spm

11、发送的邮件可能含有含有以下内容：

1)主题为以下之一：
Attention!!!
Do not reply to this email
Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status

2）内容可能为以下之一：
■The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
■Mail transaction failed. Partial message is available.
■Here are your documents you are requested.
■



■


■


■

3)附件名为以下之一：
body
message
docs
data
file
rules
doc
readme
document
4)附件扩展名可能为以下之一：
.bat
.cmd
.exe
.scr
.pif
.zip