病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP/2003
病毒特性:病毒以染毒邮件的附件形式到达,
邮件的标题、内容、附件的名称都是可变的,长度约为35k。提醒用户遇到此类邮件不要打开,应立即删除。病毒运行后在系统文件夹下生成病毒文件,修改注册表,以达到自启动的目的。另外,病毒还具有后门功能。
1、生成病毒文件
该病毒运行后在%Windir%文件夹中生成文件java.exe和services.exe。(其中,%Windir% 通常为C:\windows或C:\WINNT)
2、修改注册表
病毒修改注册表,以达到随系统启动而自动运行的目的,在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:JavaVM ="%Windir %\java.exe"Services ="%Windir %\services.exe"病毒还在注册表中创建以下键值,作为病毒感染的标记HKCU\SOFTWARE\Microsoft\Daemon HKLM\SOFTWARE\Microsoft\Daemon
3、通过电子邮件进行传播
病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从扩展名为.adb、.asp、.dbx、.ht*、.php、.pl、.sht、.tbb、.tx*和.wab的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。
病毒发送的邮件格式如下:主题: (为下列之一)hello hi error status test report delivery failed Message could not be delivered Mail System Error -Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returnedmail: Data format error正文:内容为可变的附件的名称:(为下列之一)readme instruction transcript mail letter file text attachment document message附件可能具有双扩展名:第一个扩展名可能为:cmd、bat、com、exe、pif、scr、zip第二个扩展名可能为:doc、txt、htm、html
4、后门功能
病毒生成的文件会开启TCP1034端口,并通过该端口监听来自远程用户的连接。
清除该病毒的建议:
1、终止病毒进程
在Windows9x/ME系统,同时按下CTRL+ALT+DELETE。
在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC。
选择"任务管理器--〉进程",选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的JavaVM ="%Windir %\java.exe"和Services ="%Windir %\services.exe"
3、删除病毒文件
点击"开始-->查找",找到病毒生成的文件java.exe和services.exe,并将其删除。
4、运行杀毒软件对系统进行全面的病毒查杀。
【计算机病毒的特点】计算机病毒中心发布“Mydoom变种”技术报告
http://m.hzclsc.cn/news/13461.html
推荐访问:计算机病毒通过什么传播 计算机病毒是一种什么
![[新生堂]新生必看:实用型超低价CRT显示器选购](http://image2.sina.com.cn/IT/upload/20040924/779/1096016905/2004/0916/images/253596.jpg)