学校主页 首页 新闻信息 工作流程 基础服务 教师服务 学生服务 部门服务 安全相关 培训管理 下载专区 常见问答

瑞星SCO炸弹(Worm.Novarg)病毒专杀工具已升至1.4版

来源: 信息化办     作者: admin     日期:2005-03-10     

SCO炸弹病毒专杀工具1.4版

病毒名称:SCO炸弹(Worm.Novarg)

这是一个蠕虫病毒。用upx压缩。

病毒行为:
病毒运行后将在系统注册表试着打开HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version这个键。
如果失败病毒将认为是第一次运行在系统中加入该键。并在%temp%目录中随机生成一个文件(内容随机)并用notepad打开该文件。(这是病毒用来伪装的,病毒图标为一个文本文件)病毒将自己复制到%system%目录下,文件名为:taskmon.exe并在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run加入自己的键值:TaskMon

后门:
病毒释放一个dll文件到%system%目录中。文件名为:shimgapi.dll
并将该文件以系统组件形式植入系统(以便随系统启动时启动)方式为:
在加入注册表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 项。
该模块为一个代理服务器,端口为3127至3198该模块还能根据传来的命令接受一个文件到本地系统并执行。

Dos攻击:
病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个。

P2p共享传播:
病毒将通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。
文件名为:
winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP
office_crack,nuke2004
扩展名为:
.pif,.scr,.bat,.exe

邮件传播:
病毒将通过注册表得到当前用户使用的wab文件。并打开搜索其中的email地址。病毒还将遍历所有磁盘文件并从扩展名为:.htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb
.pl ,.wab ,.txt中搜索email地址(病毒将避开.edu结尾的email地址)
并对这些地址进行发送病毒邮件。

病毒邮件的标题为以下其中之一:
test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status
Error

邮件内容为:
邮件内容为病毒用随机的数据进行编码。
当编码失败时病毒用
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
test
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
或空内容作为邮件正文。


邮件的附件名为以下其中之一:
document,readme,doc,text,file,data,test,message,body

扩展名为以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip

,


关于我们
组织架构
人员队伍
工作职责
内部管理
大事记
荣誉表彰
IT基础架构建设
机房建设
IPv6
信息化校园概况
建设规划
信息化校园服务
服务体系概况
运行服务管理规范
运行服务辅助工具
用户服务与培训
信息化校园应用
统一信息门户
校园网络文化
易佳网简介
奖章与荣誉