江民10.14病毒播报：任意门和挪威客变种

核心提示：江民今日提醒您注意：在今天的病毒中Worm/AutoDoor.ab“任意门”变种ab和Worm/Mydoom.da“挪威客”变种da值得关注，英文名称：Worm/AutoDoor.ab中文名称：“任意门”变种ab病毒长度：1064970字节病毒类型：蠕虫危险级别：★★影响平台：Win 9X/ME/NT/2000/XP/

江民今日提醒您注意：在今天的病毒中Worm/AutoDoor.ab“任意门”变种ab和Worm/Mydoom.da“挪威客”变种da值得关注。

英文名称：Worm/AutoDoor.ab
　　中文名称：“任意门”变种ab
　　病毒长度：1064970字节
　　病毒类型：蠕虫
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：5e2d6b7cea23343df0831ac707124f81
　　特征描述：
　　Worm/AutoDoor.ab“任意门”变种ab是“任意门”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写。“任意门”变种ab为被感染的“exe”文件，其图标仍旧为原应用程序的图标，以此迷惑用户，提高了自身的生存几率。“任意门”变种ab会自我复制到被感染计算机中“C:\PRogram Files\NetMeeting\”文件夹下，重命名为“winconfig_*.exe”，同时释放恶意DLL文件“winconfig_*.dll”或“netservice*.dll”。“任意门”变种ab会将所有需要使用的配置信息都记录到注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Simple\”项中。“任意门”变种ab会关闭系统防火墙、指定的进程以及标题中带有特定字符串的窗口，从而达到了自我保护的目的。连接指定的URL，例如“http://*.**/config.ini”（*为13个特定字符串，**为“vicp.cc”、“3322.org”等），获取配置文件并保存到“c:\program files\netmeeting\”文件夹下。“任意门”变种ab会根据配置文件的设置进行下载其它恶意程序、窃取用户敏感资料等恶意行为，从而给系统用户造成了不同程度的侵害。“任意门”变种ab还会感染特定下载软件的共享文件夹或存储在可移动存储设备中的“exe”、“doc”和“docx”文件，从而实现了通过网络资源共享软件、可移动存储设备等进行传播的目的。另外，其会通过修改注册表的方式实现开机自启。

英文名称：Worm/Mydoom.da
　　中文名称：“挪威客”变种da
　　病毒长度：30720字节
　　病毒类型：蠕虫
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：457f760cc7fba159296fc3a5a1b13a5d
　　特征描述：
　　Worm/Mydoom.da“挪威客”变种da是“挪威客”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“挪威客”变种da运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”文件夹下，重新命名为“taskmon.exe”。“挪威客”变种da运行时，会读取被感染计算机用户的Outlook联系人，搜索计算机上的“txt”、“htm”等类型文件中可能存在的电子邮件地址，然后用自带邮件引擎以不定的发件人向这些邮件地址发送电子邮件，邮件标题为“TEST”、“Error”等，并且携带名为“document.zip”的附件。该附件中包含名为“document.doc ... .exe”、“message.scr”等文件名的“挪威客”变种da副本，从而以此实现了通过邮件方式进行传播的目的。另外，“挪威客”变种da会通过在被感染系统注册表启动项中添加键值“TaskMon”的方式实现蠕虫的开机自动运行。