帮助中心

帮助中心

主页 > 伟博互联网络服务 > 企业邮箱 > 反垃圾邮件专题
 

病毒公告

新年伊始 “MyDoom”病毒肆虐互联网

    国内于2004年1月27日中午发现带异常病毒的邮件,经分析证实该病毒为“小邮差”病毒的又一变种,并将病毒命名为“小邮差”(WORM_MIMAIL.R)。1月29日MyDoom蠕虫又出现了新的版本,名称为“MyDoom.B”,新版本的攻击目标增加了微软,并阻止用户PC下载安全软件更新。如果从发出的电子邮件数量来看,‘Mydoom’已经超过‘大无极’,成为迄今为止最大规模的一次电脑病毒爆发。该蠕虫不断有新的版本出现,必将成为这段时间互联网上的焦点。
    目前,国内已有用户受到感染,我们在这里提醒广大用户,立即升级杀毒软件,并启动“实时监控”功能,做好病毒的防范工作。
    有关该病毒分析报告如下:
    病毒名称:“小邮差”(WORM_MIMAIL.R)
    其它中文命名:“米虫”,“SCO炸弹”(瑞星),“诺维格”(金山)
    其它英文命名:W32/Mydoom@MM, Mydoom, Win32.Mydoom.A, W32.Novarg.A@mm
    病毒类型:蠕虫
    病毒长度:22,528 字节
    影响系统:Win 95/98/NT/2000/Me/XP
    威胁程度:凶猛(高) 损害(中) 散布(高)

    病毒介绍:
    病毒通过电子邮件,KaZaA(点对点传播软件)进行传播,采用的方式是病毒和垃圾邮件相结合的少见战术。该蠕虫程序中的字符串经过了加密处理。病毒会对www.sco.com站点进行拒绝服务攻击。攻击时间为2004年2月1日及之后,当时间为2004月2月12日时,蠕虫将中止攻击及其功能。病毒会运行其后门组件(HIMGAPI.DLL),该组件将在被感染的系统中打开端口3127以接受来自远程用户的访问。同时,受病毒感染的电脑会在30秒内向用户邮箱通讯录中储存的电子邮件地址发送含有病毒的邮件, 造成互联网通信堵塞。
    1、生成病毒文件
病毒运行后会在系统中生成如下文件:
%System%\shimgapi.dll
%System%\taskmon.exe
(其中,%System%在Windows 95/98/Me下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
    2、修改注册表项
    病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加 TaskMon = %System%\taskmon.exe
    3、通过电子邮件进行传播
    该蠕虫使用SMTP进行传播。
    病毒发送的带毒电子邮件格式如下:
    主题:(下列之一)
    Error
    Status
    Server Report
    Mail Transaction Failed
    Mail Delivery System hello
    hi
    内容:(下列之一)
    The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    Mail transaction failed. Partial message is available.
    test
附件:(随机字符串).zip
附件包含了蠕虫的可执行程序,该程序的名称可能为下列之一:
    body
    message
    test
    data
    file
    text
    doc
    readme
    document
该可执行程序的扩展名为如下之一:
    BAT
    EXE
    PIF
    SCR
清除该病毒的相关操作:
    1、终止病毒进程
    在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的病毒进程,并终止其运行。
    2、注册表的恢复
    点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的TaskMon = %System%\taskmon.exe
    3、删除病毒文件
    点击“开始——〉查找——〉文件和文件夹”,查找文件“shimgapi.dll”和“taskmon.exe”,并将找到的文件删除。
    4、运行杀毒软件对系统进行全面的病毒查杀。

“恶鹰”病毒

    春节前夕,我市网监部门提醒广大用户,将有病毒在春节期间为恶。话音刚落,仅1月19日一天,国内就有上万台机器受到感染。造成这一危害的病毒名为“恶鹰”(又名“雏鹰”)。
    有关该病毒的分析报告如下:
    病毒名称:“恶鹰”(又名“雏鹰”)
    病毒特征:该病毒通过电子邮件传播,邮件主题为“HI”,邮件附件为任意.EXE类型文件。该病毒会占用计算机系统资源,同时大量发送病毒邮件,造成网络阻塞。该病毒附件大小一般为16K,邮件正文为随机内容,该病毒不会自动执行,需执行附件才行。该病毒附件文件名为“bbeagle.exe”。
    在病毒传播前,首先会搜索特定扩展名的文件,如邮件地址簿文件,文本文件,网页类型文件等,从中分析提取邮件地址找到传播途径,此后通过自带的发送引擎自动对外发送病毒邮件。
    该病毒还会在用户机器上建立一个后门,在6777端口上监听,使病毒作者可以在你机上执行他传来的任意程序。此外,该病毒在发作时间上受到了一些限制,病毒发作前首先会检测用户计算机的系统时间,如果系统时间现实为2004年1月28日以前运行,则该病毒就会发作并感染,2004年1月28日以后不再启动,但是如果在2004年1月28日以前一直运行的话,它是不会自动退出的。
    解决途径:进入安全模式,将系统目录下文件名为“bbeagle.exe”的文件删除,并修改注册表信息,将有该键值的内容删除,安装防病毒软件并升级最新的病毒代码程序。

    中深网呼吁用户如果发现邮件主题为Error、Status、Server Report、Mail Transaction Failed、Mail Delivery System hello、hi,切勿打开。


您可能还对以下内容感兴趣...

没能找到您问题的答案?请试试以下资源中的一种:
  • 帮助中心 讨论小组 - 疑难询问、分享答案、上贴您最喜欢的帮助中心窍门。
  • 学习中心 - 积累与测试您的帮助中心知识。
  • 与我们联系 - 若您想成为该条目的责任编辑,让我们的一位帮助中心专家为您提供帮助。
搜索 帮助中心



浏览 帮助中心

帮助中心

帮助中心(手机版)