新浪科技讯 金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a)，该蠕虫病毒前日已在欧美等地区大面积爆发，于今日开始迅速涌入亚洲地区，请广大用户提高警惕，严防该蠕虫病毒。

　　据金山毒霸反病毒工程师介绍：该病毒使用自带的邮件引擎进行高速传播。病毒发送的病毒邮件主题和内容随机生成，多为模仿邮件服务器的退信，而附件就是病毒本身。附

　　件使用“.bat, .cmd, .exe, .pif, .scr, and .zip”等后缀，当用户打开附件时，病毒就会立即发作。

　　该病毒会利用一个名为“KaZaA”的点对点工具进行传播。病毒将病毒复制到该软件的共享目录，并命名为“winamp5、icq2004-final、activation_crack、strip-girl-2.0bdcom_patches、rootkitXP、office_crack、nuke2004”等工具软件名字，欺骗用户下载。

　　该病毒发作时会对网址“sco.com”进行DoS(拒绝服务式)攻击。病毒攻击时会开启多达64个线程，造程系统变慢或是不稳定，并可大量浪费网络资源。病毒还会将被感染的系统做为代理服务器，监听TCP端口3127-3198。

　　金山毒霸报病毒实验室已对该病毒进行了紧急处理，升级到2004年1月27日的病毒库可完全处理该病毒。

　　金山毒霸提醒：该病毒正在快速蔓延，请广大网络用户提高警惕，升级您的反病毒软件到最新。如果没有金山毒霸，您可以使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入。


这些天大家一定要注意，接收到非正常邮件，而且带有附件的，一定不要打开附件文件，另外尽快升级防毒软件的病毒代码库

　　网络联盟旗下的防病毒紧急响应小组(Anit-Virus Emergency Response Team, AVERT)，将最新发现的“W32/Mydoom@mm”(或称Mydoom)蠕虫评定为“高级风险”级别。Mydoom由McAfee AVERT在本周一率先发现，是一种经电子邮件广泛传播的破坏性病毒，能自动把附毒电子邮件模仿成文本文件发给受感染者通讯簿上的人士。受影响的系统包括Windows 95、Windows 98、Windows ME、Windows NT、Windows 2000及Windows XP。目前在香港、亚太区及世界各地已发现过多家机构受到感染。

　　Mydoom能自建地址把病毒迅速扩散，因此其将极有可能成为高危毒虫。McAfee建议企业及家庭用户采取积极行动，例如安装和更新网络及桌面计算机防火墙、加强安全权限，更新防毒软件，以防御Mydoom入侵。

　　病毒特征

　　Mydoom为一种互联网蠕虫，开启Windows Notepad后便随即激活，显示出一些怪异字体。病毒能透过Windows系统自行安装程序，让黑客远程控制计算机。该病毒能自动复制，并以电子邮件传送给共享名录中的Kazaa用户。用户应实时删除含有下列内容标题的电子邮件：

　　寄件者：(伪装)

　　主题：(随机)

　　电邮内容：(各式各样)

　　附件：(含各种不同文件名称，普遍以EXE、.PIF、.CMD或22,528位的.SCR ZIP档案为主)

　　蠕虫症状

　　Mydoom一旦激活后，便会以附件形式自行传送，文件名称为c:\Program Files\KaZaA\My Shared Folder\activation_crack.scr、c:\WINDOWS\Desktop\Document.scr及c:\WINDOWS\SYSTEM\taskmon.exe。病毒档案模仿为文本文件类型，藉以鱼目混珠。Mydoom更采用DLL建立Windows系统目录c:\WINDOWS\SYSTEM\shimgapi.dll，并尝试操控Windows激活程序HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe。Mydoom开启TCP 3127端口，让远程攻击者有机可乘。

金山毒霸报道：金山毒霸反病毒实验室应急处理中心于今日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a)，该蠕虫病毒前日已在欧美等地区大面积爆发，于今日开始迅速涌入亚洲地区，请广大用户提高警惕，严防该蠕虫病毒。

　　 据金山毒霸反病毒工程师介绍：该病毒使用自带的邮件引擎进行高速传播。病毒发送的病毒邮件主题和内容随机生成，多为模仿邮件服务器的退信，而附件就是病毒本身。附件使用“ .bat, .cmd, .exe, .pif, .scr, and .zip”等后缀，当用户打开附件时，病毒就会立即发作。下图病毒邮件例：




　　该病毒会利用一个名为“KaZaA”的点对点工具进行传播。病毒将病毒复制到该软件的共享目录，并命名为“winamp5、icq2004-final、activation_crack、strip-girl-2.0bdcom_patches、rootkitXP、office_crack、nuke2004”等工具软件名字，欺骗用户下载。

　　该病毒发作时会对网址“ sco.com ”进行DoS（拒绝服务式）攻击。病毒攻击时会开启多达64个线程，造程系统变慢或是不稳定，并可大量浪费网络资源。病毒还会将被感染的系统做为代理服务器，监听TCP端口3127-3198。

　　金山毒霸报病毒实验室已对该病毒进行了紧急处理，升级到2004年1月27日的病毒库可完全处理该病毒。

　　 金山毒霸提醒：该病毒正在快速蔓延，请广大网络用户提高警惕，升级您的反病毒软件到最新。如果没有金山毒霸，您可以使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入。

病毒名称: Worm.Novarg.a
中文名称: 诺维格
威胁级别: 4A
病毒别名:W32/Mydoom@MM [McAfee]
　　　　　WORM_MIMAIL.R [Trend]
　　　　　W32.Novarg.A@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003

　　金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a)，该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击，造成系统和网络资源的严重浪费。
请立即升级金山毒霸病毒库到2004年1月27日的版本，即可完全处理该病毒。
技术特征：

1、创建如下文件：
%System%shimgapi.dll
%temp%Message， 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。
（注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；

3、添加如下注册表项：
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
使病毒可随机启动；
添加如下注册表项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
用于存储病毒的活动信息。

4、对www.sco.com实施拒绝服务（DoS)攻击, 创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；

5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；

7、邮件内容如下：
From: 可能是一个欺骗性的地址
主题:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

附件名称:
document
readme
doc
text
file
data
test
message
body

可能的后缀:
pif
scr
exe
cmd
bat
zip

8、拷贝自己到KaZaA的共享目录下，伪装成如下文件，后缀可能为(pif\scr\bat)，欺骗其它KaZaA用户下载，达到传播的目的：
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

解决方案:
1>升级毒霸病毒库到最新, 进行全盘查杀即可.
2>手工清除:
　<1>终止恶意程序:
　打开windows任务管理器.
　在windows95/98/ME系统中, 按CTRL+ALT+DELETE
　在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
　在运行程序列表中, 找到进程: taskmon.exe
　选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本).
　为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
　关掉任务管理器.
　*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.

　<2>删除注册表中的自启动项目:
　从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter
　在左边的面板中, 双击:
　HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　在右边的面板中, 找到并删除如下项目:
　TaskMon = %System%\taskmon.exe
　*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\Windows\System, 在WindowsNT和2000系统中是:WINNT\System32, 在Windows XP系统中是C:\Windows\System32.
　*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.

　<3>删除注册表中的其他恶意项目
　如下是删除注册表中其他恶意项目的说明.
　仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入"ComDlg32", 点击查找下一个.
　当像如下键值出现时, 删除键值和数据:
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　关闭注册表编辑器.


专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　duba.net 现已推出“在线病毒日历”，及时为您播报近期危险病毒，敬请关注；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

难怪这几天网络非常不稳定

谢谢提供！看帖要回贴,回贴积分！