防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B)
病毒名称:MyDoom
病毒别名:Shimgapi,Novarg, W32/Mydoom, 诺维格, SCO 炸弹,悲惨命运
病毒变种: MyDoom.A,MyDoom.B
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
发现日期:2004/01/27(MyDoom.A), 2004/01/28(MyDoom.B)
病毒简介:
MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病
毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量
带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127
到3198范围内)。
MyDoom病毒还设定了自2月1日起向www.sco.com和www.microsoft.com网站发起大量连接
请求而造成DDOS攻击,一直持续到3月1日(但DDOS攻击停止后蠕虫留下的后门不会自动消除)。
Mydoom.B还阻止被感染机器访问一些著名反病毒厂商的网站。
个人防范建议:
1. 立即更新您的防病毒软件,如果怀疑您的系统受到感染,立即彻底扫描整个系统;
2. 不要轻易打开下述特征的电子邮件(见附件二和附件三);
3. 在收邮件的客户端软件中加入过滤规则,邮件特征参见附件:
4. 如果您的防病毒软件不能清除MyDoom病毒,您可以使用Symantec 公司提供的MyDoom专杀
工具(见附件一)
校园网防范建议:
1. 教育您的用户不要轻易打开电子邮件附件,特别是后缀名是.vbs, .bat, .exe, .pif
and .scr的附件,这些文件经常用于传播病毒;
2. 教育用户安装所有的操作系统补丁,经常更新系统;
附件一:Symantec 公司提供的MyDoom 清除工具
http://see.xidian.edu.cn/cert/mydoom/FixMydoom105.exe
附件二:MyDoom.A病毒邮件的特征分析
MyDoom.A发送的邮件具有如下特征:
发件人:可能是经过伪装的发件人地址
主题:可能是下列之一:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文:可能是下列之一:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.
附件:文件名可能是下列之一:
document
readme
doc
text
file
data
test
message
body
注意:
附件可能有两个后缀。其中一个后缀可能下列之一:
.htm
.txt
.doc
蠕虫总是会使用下面后缀中的一个:
.pif
.scr
.exe
.cmd
.bat
.zip(这是一个实际上含有病毒程序的 .zip 文件。该蠕虫程序的名字和这个 .zip
的文件名一致。)
附件三:MyDoom.B病毒邮件的特征分析
a. 邮件主题:(下列之一)
Status
hi
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail
b. 邮件正文:(下列之一)
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message hasbeen received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
c. 邮件附件文件名:(下列之一)
document
readme
doc
text
file
data
message
body
d. 邮件附件扩展名
邮件附件可能有一个或两个文件扩展名,如果它有两个扩展名,则第一个是:(下列之一)
.htm
.txt
.doc
第二个扩展名,或者如果只有一个扩展名,则是:(下列之一)
.pif
.scr
.exe
.cmd
.bat
e. 邮件附件所用图标使得它看起来是一个文本文件
如果你收到具有以上特征的邮件,不要打开,立刻删除。
详细的安全公告请参考上一篇文章:电院2004届优秀毕业生 优秀学生干部名单