当前位置:

防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B)

2004-02-04 22:27:00 浏览次数:

病毒名称:MyDoom

病毒别名:Shimgapi,Novarg, W32/Mydoom, 诺维格, SCO 炸弹,悲惨命运

病毒变种: MyDoom.A,MyDoom.B

感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,

Windows Server 2003, Windows XP

发现日期:2004/01/27(MyDoom.A), 2004/01/28(MyDoom.B)

病毒简介:

MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病

毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量

带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127

到3198范围内)。

MyDoom病毒还设定了自2月1日起向www.sco.comwww.microsoft.com网站发起大量连接

请求而造成DDOS攻击,一直持续到3月1日(但DDOS攻击停止后蠕虫留下的后门不会自动消除)。

Mydoom.B还阻止被感染机器访问一些著名反病毒厂商的网站。

个人防范建议:

1. 立即更新您的防病毒软件,如果怀疑您的系统受到感染,立即彻底扫描整个系统;

2. 不要轻易打开下述特征的电子邮件(见附件二和附件三);

3. 在收邮件的客户端软件中加入过滤规则,邮件特征参见附件:

4. 如果您的防病毒软件不能清除MyDoom病毒,您可以使用Symantec 公司提供的MyDoom专杀

工具(见附件一)

校园网防范建议:

1. 教育您的用户不要轻易打开电子邮件附件,特别是后缀名是.vbs, .bat, .exe, .pif

and .scr的附件,这些文件经常用于传播病毒;

2. 教育用户安装所有的操作系统补丁,经常更新系统;

附件一:Symantec 公司提供的MyDoom 清除工具

http:/cert/mydoom/FixMydoom105.exe

附件二:MyDoom.A病毒邮件的特征分析

MyDoom.A发送的邮件具有如下特征:

发件人:可能是经过伪装的发件人地址

主题:可能是下列之一:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

正文:可能是下列之一:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been

sent as a binary attachment.

附件:文件名可能是下列之一:

document

readme

doc

text

file

data

test

message

body

注意:

附件可能有两个后缀。其中一个后缀可能下列之一:

.htm

.txt

.doc

蠕虫总是会使用下面后缀中的一个:

.pif

.scr

.exe

.cmd

.bat

.zip(这是一个实际上含有病毒程序的 .zip 文件。该蠕虫程序的名字和这个 .zip

的文件名一致。)

附件三:MyDoom.B病毒邮件的特征分析

a. 邮件主题:(下列之一)

Status

hi

Delivery Error

Mail Delivery System

hello

Error

Server Report

Returned mail

b. 邮件正文:(下列之一)

The message cannot be represented in 7-bit ASCII encoding and has been sent as a

binary attachment.

sendmail daemon reported:

Error #804 occured during SMTP session. Partial message hasbeen received.

The message contains Unicode characters and has been sent as a binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

c. 邮件附件文件名:(下列之一)

document

readme

doc

text

file

data

message

body

d. 邮件附件扩展名

邮件附件可能有一个或两个文件扩展名,如果它有两个扩展名,则第一个是:(下列之一)

.htm

.txt

.doc

第二个扩展名,或者如果只有一个扩展名,则是:(下列之一)

.pif

.scr

.exe

.cmd

.bat

e. 邮件附件所用图标使得它看起来是一个文本文件

如果你收到具有以上特征的邮件,不要打开,立刻删除。

详细的安全公告请参考