【赛迪网讯】就在“震荡波”余波未平之际,曾经名躁一时的mydoom又出现了新的变种。5月22日,冠群金辰截获Win32.Mydoom.K,尽管其破坏程度很低,但是冠群金辰仍然提醒用户慎防。
病毒素描:
Win32.Mydoom.K是一种通过邮件传播的蠕虫病毒,是一个可执行文件,可能包含在ZIP压缩包里。该蠕虫通过建立一个名为“SwebSipcSmtxS0”的互斥体,以确保只有一个Mydoom.K在运行。执行时,病毒拷贝自己到%System%目录的as taskmon.exe文件下,并且修改下面注册值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\rundll=%System%\rundll6.exe"
Win32.Mydoom.K通过邮件传播,它的主题和内容以及附件名及其扩展名都是可变的,发件人地址是’spoofed’。该蠕虫会在使用adb、asp、dbx、htm、php、sht、tbb、wab为扩展名的文件中查找邮件地址,邮件的主题和内容均有可能为缺省,由任意字符组成,附件名可能为body、data、doc、document、file、message、readme、test、text,扩展名可变,可使用的扩展名包括.bat, .cmd, .pif, .exe, and .scr蠕虫一般是把自己当做一个ZIP压缩包来发送。
病毒检测/清除
与mydoom相比较,此次发作的Win32.Mydoom.K没有表现出更新的特点,用户只需将KILL安全胄甲升级到inoculateIT v23.65.20即可检测/清除此病毒。同时对于我们上面提到的以上述名称为扩展名的病毒邮件,冠群金辰最新推出的赤宵过滤网关4.0(KSG4.0)均可查杀。
冠群金辰专家提示:
虽然此次爆发的Win32.Mydoom.K蠕虫的破坏性并不大,但是仍然需要警惕。因为mydoom的卷土重来给了我们一个重要的提示:由于黑客在制造病毒时,病毒程序的原代码会在网上传播,因此抓住病毒的开发者并不能完全终止病毒的产生和传播。因此对于那些已经发作过的蠕虫病毒,用户还需慎防,切不可掉以轻心。
