诺维格(Novarg/Mydoom)

反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”（Worm.N来自ovarg.a），该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击，造成系统和网络资源的严重浪费。

简介

　　病毒名称: Worm.Novarg.a

　　中文名称: 诺维格

　　威胁级别: 4苏队蒸己激系吸尽压京A

　　病毒别名:W32/Mydoom@MM [McAfee]

　　WORM_MIMAIL.R [术界巴息补副Trend]

　　W32.Novarg.A@mm [Symant需ec]

　　受影响系统: Win9x/NT/2K/XP/2003

　　反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”（Worm.Novarg.来自a），该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具的共州端不独轮构亮过享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击，造成系编殖待步统和网络资源的严重浪费。

　　请立即升级病毒库到2004年360百科1月27日的版本，即可完全处理该病毒。

　　技术特征：

　　1、创建如下文件：

　　%System%shimgapi.dll

　　%temp%Message， 这个文件由随机字母通组成。

　　%System%taskmon.e少究血示冷于宗祖xe，如果此文件存项场战余念女导汉带好在，则用病毒文件覆盖。

　　频（注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

　　2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；

　　3夫让杀皇能大陈以频若、添加如下注册表项纪存误海和油片：

　　HKEY_CU财却优照修钟看左表RRENT_USER\Softwa肉苗犯变岁短茶阳re\Microsft\Windows\CurrentVersion\Run

　　TaskMon = %System%\taskmon.exe

短径长　　HKEY_LOCAL既刘已_MACHINE双\Software\Microsoft倒乱势稳材宁束雷\Windows\CurrentVersion\Run

　　TaskMon = %System%\taskmon.ex物祖另阻德达喜镇白e

　　使病毒可随机启动；

　　添加如下注册表项：

　　HKEY_LOCAL_MAC运粮派种略HINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

　　用于存储病毒的活动信息。

　　4、对www.sco.com实施拒绝服务（DoS）攻击，创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；

　　5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：

　　.htm

　　.sht

　　.php

　　.asp

　　.dbx

　　.tbb

　　.adb

　　.pl

　　.wab

　　.txt

　　6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；

　　7、邮件内容如下：

　　From: 可能是一个欺骗性的地址

　　主题：

　　test

　　hi

　　hello

　　Mail Delivery System

　　Mail Transaction Failed

　　Server Report

　　Status

　　Error

　　正文：

　　Mail transaction failed. Partial message is available.

　　The message contains Unicode characters and has been sent as a binary attachment.

　　The message cannot be represented in 7-bit ASCⅡ encoding and has been sent as a binary attachment.

　　附件名称：

　　document

　　readme

　　doc

　　text

　　file

　　data

　　test

　　message

　　body

　　可能的后缀：

　　pif

　　scr

　　exe

　　cmd

　　bat

　　zip

　　8、拷贝自己到KaZaA的共享目录下，伪装成如下文件，后缀可能为（pif\scr\bat），欺骗其它KaZaA用户下载，达到传播的目的：

　　winamp5

　　icq2004-final

　　activation_crack

　　strip-girl-2.0bdcom_patches

　　rootkitXP

　　office_crack

　　nuke2004

　　解决方案:

　　1>；升级毒霸病毒库到最新，进行全盘查杀即可.

　　2>；手工清除：

　　<1>；终止恶意程序：

　　打开windows任务管理器.

　　在windows95/98/ME系统中，按CTRL+ALT+DELETE

　　在Windows NT/2000/XP 系统中，按CTRL+SHIFT+ESC，然后点击进程选项卡.

　　在运行程序列表中，找到进程： taskmon.exe

　　选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于windows的版本）.

　　为了检查恶意程序是否被终止，关掉任务管理器，然后再打开.

　　关掉任务管理器.

　　*注意： 在运行windows95/98/ME的系统中，任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则，继续处理下面的步骤，注意附加说明.

　　<2>；删除注册表中的自启动项目：

　　从注册表中删除自动运行项目来阻止恶意程序在启动时执行.

　　打开注册表编辑器： 点击开始>；运行，输入REGEDIT，按Enter

　　在左边的面板中，双击：

　　HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run

　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

　　在右边的面板中，找到并删除如下项目：

　　TaskMon = %System%\taskmon.exe

　　*注意： %System%是Windows的系统文件夹，在Windows 95,98，和ME系统中通常是 C:\Windows\System，在WindowsNT和2000系统中是：WINNT\System32，在Windows XP系统中是C:\Windows\System32.

　　*注意： 如果不能按照上述步骤终止在内存中运行的恶意进程，请重启系统.

　　<3>；删除注册表中的其他恶意项目

　　如下是删除注册表中其他恶意项目的说明.

　　仍旧在注册表编辑器中，在菜单条中点击编辑>；查找，在文本领域中输入"ComDlg32",点击查找下一个.

　　当像如下键值出现时，删除键值和数据：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer

　　\ComDlg32\Version

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

　　\ComDlg32\Version

　　关闭注册表编辑器.