當前位置:

防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B)

來源: www.hetaojiu.org2004-02-04 22:27:21瀏覽次數:

病毒名稱:MyDoom
病毒別名:Shimgapi,Novarg, W32/Mydoom, 諾維格, SCO 炸彈,悲慘命運
病毒變種: MyDoom.A,MyDoom.B


感染系統:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
           Windows Server 2003, Windows XP
發現日期:2004/01/27(MyDoom.A), 2004/01/28(MyDoom.B)


病毒簡介:
    MyDoom是一種通過電子郵件附件和P2P網絡Kazaa傳播的病毒,當用戶打開并運行附件內的病
毒程序后,病毒就會以用戶信箱內的電子郵件地址為目標,偽造郵件的源地址,向外發送大量
帶有病毒附件的電子郵件,同時在用戶主機上留下可以上載并執行任意代碼的后門(TCP 3127
到3198范圍內)。


  MyDoom病毒還設定了自2月1日起向www.sco.comwww.microsoft.com網站發起大量連接
請求而造成DDOS攻擊,一直持續到3月1日(但DDOS攻擊停止后蠕蟲留下的后門不會自動消除)。
Mydoom.B還阻止被感染機器訪問一些著名反病毒廠商的網站。



個人防范建議:
    1. 立即更新您的防病毒軟件,如果懷疑您的系統受到感染,立即徹底掃描整個系統;
    2. 不要輕易打開下述特征的電子郵件(見附件二和附件三);
    3. 在收郵件的客戶端軟件中加入過濾規則,郵件特征參見附件:
    4. 如果您的防病毒軟件不能清除MyDoom病毒,您可以使用Symantec 公司提供的MyDoom專殺
工具(見附件一)


校園網防范建議:
    1. 教育您的用戶不要輕易打開電子郵件附件,特別是后綴名是.vbs, .bat, .exe, .pif
 and .scr的附件,這些文件經常用于傳播病毒;
    2. 教育用戶安裝所有的操作系統補丁,經常更新系統;
   


附件一:Symantec 公司提供的MyDoom 清除工具
http://www.hetaojiu.org/cert/mydoom/FixMydoom105.exe



附件二:MyDoom.A病毒郵件的特征分析
  MyDoom.A發送的郵件具有如下特征:
   
    發件人:可能是經過偽裝的發件人地址


    主題:可能是下列之一:
 test
 hi
 hello
 Mail Delivery System
 Mail Transaction Failed
 Server Report
 Status
 Error


    正文:可能是下列之一:
 Mail transaction failed. Partial message is available.
 The message contains Unicode characters and has been sent as a binary attachment.
 The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.


    附件:文件名可能是下列之一:
 document
 readme
 doc
 text
 file
 data
 test
 message
 body


     注意:
 附件可能有兩個后綴。其中一個后綴可能下列之一:
 .htm
 .txt
 .doc


 蠕蟲總是會使用下面后綴中的一個:
 .pif
 .scr
 .exe
 .cmd
 .bat
 .zip(這是一個實際上含有病毒程序的 .zip 文件。該蠕蟲程序的名字和這個 .zip
的文件名一致。)



附件三:MyDoom.B病毒郵件的特征分析


a. 郵件主題:(下列之一)
    Status
    hi
    Delivery Error
    Mail Delivery System
    hello
    Error
    Server Report
    Returned mail


b. 郵件正文:(下列之一)
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message hasbeen received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.


c. 郵件附件文件名:(下列之一)


    document
    readme
    doc
    text
    file
    data
    message
    body


d. 郵件附件擴展名
郵件附件可能有一個或兩個文件擴展名,如果它有兩個擴展名,則第一個是:(下列之一)
   .htm
   .txt
   .doc


第二個擴展名,或者如果只有一個擴展名,則是:(下列之一)


    .pif
    .scr
    .exe
    .cmd
    .bat


e. 郵件附件所用圖標使得它看起來是一個文本文件


如果你收到具有以上特征的郵件,不要打開,立刻刪除。


詳細的安全公告請參考上一篇文章:電院2004屆優秀畢業生 優秀學生干部名單

下一篇文章:我院被評為師資隊伍建設先進集體 獲得兩項省級教學成果獎