病毒名称: Worm.Novarg.m.enc 类别：蠕虫病毒病毒资料：      破坏方法：蠕虫病毒。

    一、蠕虫型病毒，采用upx压缩。图标为Windows系统邮件文件类型的默认图

    标。
    邮件附件中的病毒经过压缩，为zip类型。

    二、文件和注册表

    1. 病毒复制自身到系统目录，命名为“lsass.exe”，添加到注册表启动

    项。
    HKEY_LOCAL_MACHINE Software\Microsoft
    \Windows\CurrentVersion\Run\Traybar

    2. 病毒会遍历所有目录，复制自身到包含下列文件的目录下：“

    incoming”、“ftproot”、“download”、“shar”。
    这些目录往往提供文件下载，利于病毒传播。
    病毒携带几十个名字，命名时与后缀“.com”、".exe"、\“.pif”随机

    组合。例如：

    Harry Potter.com、ICQ 4 Lite.com、index.exe、Harry Potter.com、
    Kazaa Lite.ShareReactor.com
    Winamp 5.0 (en) Crack.ShareReactor.com、WinRAR.v.3.2.and.key.

    com.......

    三、病毒试图从“Software\Microsoft\WAB\WAB4\Wab File Name” 读取当前

    用户的系统ID。

    四、病毒后门传播。

    试图连接随机ip 的1042端口。病毒将随机计算ip地址并对这些地址尝

    试对其3127端口的连接。
    如果那个IP地址的主机中了Worm.Novarg病毒，病毒将自己传给目标系统。以

    达到“升级”传播的目的。


    五、遍历磁盘文件，提取邮件地址后，向其发送携带病毒的邮件。

    病毒保留数种正文模版，随机从中挑选，如下：
    This Message was undeliverable due to the following reason:

    Your message was not delivered because the destination computer was
    not reachable within the allowed queue period. The amount of time

[1] [2] 下一页

上一篇:Harm.Smith.c

下一篇:Worm.Olatsky.a

Worm.Novarg.m.enc 相关文章：

·Worm.Novarg.v

Worm.Novarg.m.enc 相关软件：

·瑞星--“SCO炸弹(Worm.Novarg)”病毒专杀工具 V1.4

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot