近日,江民快速反病毒小组率先截获一名为I-WORM/Novarg的网络蠕虫,该蠕虫除了具备一般蠕虫病毒的特征,通过搜索有效的邮件地址发送自身外,还会启记事本程序notepad.exe做掩护,打开TCP端口的3127到3198,设置一个后台程序,使黑客程序得以连接到该机器,并利用它作为代理服务器来获得网络资源。2月份以后,该蠕虫还会对特定网站发起DoS拒绝服务攻击。 目前,据江民全球反病毒监测网获得的数据表明,该病毒目前正在全球范围内快速传播。
据介绍,该蠕虫病毒运行时,病毒程序会在WINDOWS的SYSTEM目录下生成文件shimgapi.dll、Taskmon.exe,同时在WINDOWS的临时文件TEMP目录下生成文件Message,该文件中含有一些随机的字母。与正常系统文件taskmon.exe 不同的是,病毒生成的该文件并不在WINDOWS目录下的正常位置。shimgapi.dll 文件会自动设置成一个代理服务器,并在TCP(3127到3198)下接受黑客的控制。
病毒同时在WINDOWS的系统注册表下增加键值Taskmon= taskmon.exe 到HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。完成以上动作后,病毒会在受感染的系统中潜伏,一旦系统日期进入2004年2月,蠕虫开始对一个特定的网站发起拒绝服务DoS攻击,建立64线程,每个线程都会在80端口发送GET请求。
蠕虫程序利用自身的SMTP引擎,在以下扩展名称的文件中搜索可以传播的邮件地址(除了edu的外):htm、 .sht、 .php、.asp、 .dbx、.tbb、 .adb、.pl、 .wab、和.txt。含有病毒的邮件类型如下:发送方:任一虚假的地址。邮件主题包括:test\hi\hello\Mail Delivery System\Mail Transaction Failed\Server Report\Status\Error邮件内容大意为邮件发送失败的一些英文信息,附件文件名称可能包含:document、readme、doc、text、file、data、test、message、body文件扩展名称为伪装成纯文本格式的一些可执行文件:.pif、.scr、.exe、.cmd、.bat和.zip 同时该蠕虫还会向特定的共享程序KaZaA的下载目录拷贝文件:winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004扩展名称可能是:pif scr bat exe
江民公司已在第一时间升级了病毒库,用户只需升级KV2004到1月27日版本,开启七套KV病毒实时监控,即可防杀该病毒于系统之外。
文章来源:eNet硅谷动力
|
