當前位置:

防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B)

2004-02-04 22:27:00 瀏覽次數:

病毒名稱:MyDoom

病毒別名:Shimgapi,Novarg, W32/Mydoom, 諾維格, SCO 炸彈,悲慘命運

病毒變種: MyDoom.A,MyDoom.B

感染系統:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,

Windows Server 2003, Windows XP

發現日期:2004/01/27(MyDoom.A), 2004/01/28(MyDoom.B)

病毒簡介:

MyDoom是一種通過電子郵件附件和P2P網絡Kazaa傳播的病毒,當用戶打開并運行附件內的病

毒程序后,病毒就會以用戶信箱內的電子郵件地址為目標,偽造郵件的源地址,向外發送大量

帶有病毒附件的電子郵件,同時在用戶主機上留下可以上載并執行任意代碼的后門(TCP 3127

到3198范圍內)。

MyDoom病毒還設定了自2月1日起向www.sco.comwww.microsoft.com網站發起大量連接

請求而造成DDOS攻擊,一直持續到3月1日(但DDOS攻擊停止后蠕蟲留下的后門不會自動消除)。

Mydoom.B還阻止被感染機器訪問一些著名反病毒廠商的網站。

個人防范建議:

1. 立即更新您的防病毒軟件,如果懷疑您的系統受到感染,立即徹底掃描整個系統;

2. 不要輕易打開下述特征的電子郵件(見附件二和附件三);

3. 在收郵件的客戶端軟件中加入過濾規則,郵件特征參見附件:

4. 如果您的防病毒軟件不能清除MyDoom病毒,您可以使用Symantec 公司提供的MyDoom專殺

工具(見附件一)

校園網防范建議:

1. 教育您的用戶不要輕易打開電子郵件附件,特別是后綴名是.vbs, .bat, .exe, .pif

and .scr的附件,這些文件經常用于傳播病毒;

2. 教育用戶安裝所有的操作系統補丁,經常更新系統;

附件一:Symantec 公司提供的MyDoom 清除工具

http://www.hetaojiu.org/cert/mydoom/FixMydoom105.exe

附件二:MyDoom.A病毒郵件的特征分析

MyDoom.A發送的郵件具有如下特征:

發件人:可能是經過偽裝的發件人地址

主題:可能是下列之一:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

正文:可能是下列之一:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been

sent as a binary attachment.

附件:文件名可能是下列之一:

document

readme

doc

text

file

data

test

message

body

注意:

附件可能有兩個后綴。其中一個后綴可能下列之一:

.htm

.txt

.doc

蠕蟲總是會使用下面后綴中的一個:

.pif

.scr

.exe

.cmd

.bat

.zip(這是一個實際上含有病毒程序的 .zip 文件。該蠕蟲程序的名字和這個 .zip

的文件名一致。)

附件三:MyDoom.B病毒郵件的特征分析

a. 郵件主題:(下列之一)

Status

hi

Delivery Error

Mail Delivery System

hello

Error

Server Report

Returned mail

b. 郵件正文:(下列之一)

The message cannot be represented in 7-bit ASCII encoding and has been sent as a

binary attachment.

sendmail daemon reported:

Error #804 occured during SMTP session. Partial message hasbeen received.

The message contains Unicode characters and has been sent as a binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

c. 郵件附件文件名:(下列之一)

document

readme

doc

text

file

data

message

body

d. 郵件附件擴展名

郵件附件可能有一個或兩個文件擴展名,如果它有兩個擴展名,則第一個是:(下列之一)

.htm

.txt

.doc

第二個擴展名,或者如果只有一個擴展名,則是:(下列之一)

.pif

.scr

.exe

.cmd

.bat

e. 郵件附件所用圖標使得它看起來是一個文本文件

如果你收到具有以上特征的郵件,不要打開,立刻刪除。

詳細的安全公告請參考