当前位置:

防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B)

来源: see.xidian.edu.cn2004-02-04 22:27:21浏览次数:

病毒名称:MyDoom
病毒别名:Shimgapi,Novarg, W32/Mydoom, 诺维格, SCO 炸弹,悲惨命运
病毒变种: MyDoom.A,MyDoom.B


感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
发现日期:2004/01/27(MyDoom.A), 2004/01/28(MyDoom.B)


病毒简介:
MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病
毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量
带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127
到3198范围内)。


  MyDoom病毒还设定了自2月1日起向www.sco.comwww.microsoft.com网站发起大量连接
请求而造成DDOS攻击,一直持续到3月1日(但DDOS攻击停止后蠕虫留下的后门不会自动消除)。
Mydoom.B还阻止被感染机器访问一些著名反病毒厂商的网站。



个人防范建议:
1. 立即更新您的防病毒软件,如果怀疑您的系统受到感染,立即彻底扫描整个系统;
2. 不要轻易打开下述特征的电子邮件(见附件二和附件三);
3. 在收邮件的客户端软件中加入过滤规则,邮件特征参见附件:
4. 如果您的防病毒软件不能清除MyDoom病毒,您可以使用Symantec 公司提供的MyDoom专杀
工具(见附件一)


校园网防范建议:
1. 教育您的用户不要轻易打开电子邮件附件,特别是后缀名是.vbs, .bat, .exe, .pif
and .scr的附件,这些文件经常用于传播病毒;
2. 教育用户安装所有的操作系统补丁,经常更新系统;


附件一:Symantec 公司提供的MyDoom 清除工具
http://see.xidian.edu.cn/cert/mydoom/FixMydoom105.exe



附件二:MyDoom.A病毒邮件的特征分析
MyDoom.A发送的邮件具有如下特征:

发件人:可能是经过伪装的发件人地址


主题:可能是下列之一:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error


正文:可能是下列之一:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.


附件:文件名可能是下列之一:
document
readme
doc
text
file
data
test
message
body


注意:
附件可能有两个后缀。其中一个后缀可能下列之一:
.htm
.txt
.doc


蠕虫总是会使用下面后缀中的一个:
.pif
.scr
.exe
.cmd
.bat
.zip(这是一个实际上含有病毒程序的 .zip 文件。该蠕虫程序的名字和这个 .zip
的文件名一致。)



附件三:MyDoom.B病毒邮件的特征分析


a. 邮件主题:(下列之一)
Status
hi
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail


b. 邮件正文:(下列之一)
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message hasbeen received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.


c. 邮件附件文件名:(下列之一)


document
readme
doc
text
file
data
message
body


d. 邮件附件扩展名
邮件附件可能有一个或两个文件扩展名,如果它有两个扩展名,则第一个是:(下列之一)
.htm
.txt
.doc


第二个扩展名,或者如果只有一个扩展名,则是:(下列之一)


.pif
.scr
.exe
.cmd
.bat


e. 邮件附件所用图标使得它看起来是一个文本文件


如果你收到具有以上特征的邮件,不要打开,立刻删除。


详细的安全公告请参考上一篇文章:电院2004届优秀毕业生 优秀学生干部名单

下一篇文章:我院被评为师资队伍建设先进集体 获得两项省级教学成果奖