|
病毒名称:SCO炸弹(Worm.Novarg)
这是一个蠕虫病毒。用upx压缩。
病毒行为:
病毒运行后将在系统注册表试着打开HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version这个键。
如果失败病毒将认为是第一次运行在系统中加入该键。并在%temp%目录中随机生成一个文件(内容随机)并用notepad打开该文件。(这是病毒用来伪装的,病毒图标为一个文本文件)病毒将自己复制到%system%目录下,文件名为:taskmon.exe并在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run加入自己的键值:TaskMon
后门:
病毒释放一个dll文件到%system%目录中。文件名为:shimgapi.dll
并将该文件以系统组件形式植入系统(以便随系统启动时启动)方式为:
在加入注册表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 项。
该模块为一个代理服务器,端口为3127至3198该模块还能根据传来的命令接受一个文件到本地系统并执行。
Dos攻击:
病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个。
P2p共享传播:
病毒将通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。
文件名为:
winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP
office_crack,nuke2004
扩展名为:
.pif,.scr,.bat,.exe
邮件传播:
病毒将通过注册表得到当前用户使用的wab文件。并打开搜索其中的email地址。病毒还将遍历所有磁盘文件并从扩展名为:.htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb
.pl ,.wab ,.txt中搜索email地址(病毒将避开.edu结尾的email地址)
并对这些地址进行发送病毒邮件。
病毒邮件的标题为以下其中之一:
test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status
Error
邮件内容为:
邮件内容为病毒用随机的数据进行编码。
当编码失败时病毒用
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
test
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
或空内容作为邮件正文。
邮件的附件名为以下其中之一:
document,readme,doc,text,file,data,test,message,body
扩展名为以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip
“SCO炸弹(Worm.Novarg)”病毒专杀工具
工具名称:RavNovarg.exe
版 本 号:1.1
软件大小:81.5 KB
应用平台:Windows平台
更新时间:2004-02-05
发布时间:2004-01-27
发布公司:北京瑞星科技股份有限公司
下载 |
|