*病毒定義(智能更新程序)65438+2004年10月26日
威脅評估*廣度級別:低
*感染人數:超過1000
*網站數量:超過10
*地域分布:高
*威脅抑制:簡單
*清晰:中等*損壞程度:中等
*群發電子郵件:發送到在指定文件集中找到的電子郵件地址。
*降低性能:性能降低。
*安全設置受損:允許未經授權的遠程訪問。*分布水平:高。
*電子郵件主題:各不相同
*附件名稱:擴展名為的品種。pif,。SCR,。exe,。cmd,。蝙蝠或者。拉鏈。
*附件大小:22,528字節(如有變化
*端口:W32時TCP 3127-3198。Mydoom.A@mm時,將執行以下操作:HKEY _本地_機器\軟件\微軟\ Windows \當前版本\資源管理器\ comdlg32 \版本。
HKEY _當前用戶\軟件\微軟\ Windows \當前版本\資源管理器\ comdlg32 \版本6。搜索電子郵件地址*。具有以下擴展名的文件。
* .噓
* .服務器端編程語言(Professional Hypertext Preprocessor的縮寫)
* .白楊
* .dbx電子分頻器
* .tbb
* .(同AsianDevelopmentBank)亞洲開發銀行
* .pl
* .西部失語癥成套測驗
* .文本文件(textfile)
註意:它忽略以結尾的地址。edu。發件人:可能是偽裝的發件人地址。
主題:
下列之壹:
試驗
妳好
妳好
郵件遞送系統
郵件交易失敗
服務器報告
狀態
錯誤
文本:
下列之壹:
郵件交易失敗。部分消息可用。
該郵件包含Unicode字符,已作為二進制附件發送。
該消息不能用7位ASCII編碼表示,已作為二進制附件發送。
附件:
下列之壹:
文件
自述文件
文件
文本
文件
數據
試驗
消息
身體
註意:
附件可能有兩個後綴。後綴之壹可以是下列之壹:
。html文件的後綴
。文本文件(textfile)
。文件
蠕蟲總是使用下列後綴之壹:
。程序信息文件
。可控矽整流器(Silicon Controlled Rectifier)
。可執行程序的擴展名
。煤礦管理局
。蝙蝠
。zip(這是壹個. zip文件,實際上包含了壹個蠕蟲程序。蠕蟲程序的名稱與此的文件名相同。拉鏈。)
如果蠕蟲使用。exe或。scr為擴展名,顯示的圖標如下:壹個復制到Kazaa下載文件夾:
* winamp5
* ICQ 2004-最終版
*激活_破解
*脫衣舞女-2.0bdcom_patches
* rootkitXP
* office_crack
* nuke2004年
使用下列之壹作為擴展名:
* .程序信息文件
* .可控矽整流器(Silicon Controlled Rectifier)
* .蝙蝠
* .可執行程序的擴展名
入侵警報
賽門鐵克發布了入侵警報3.6W32 _ novarg _ worm策略。
賽門鐵克追捕
已發布安全更新16,為W32提供簽名。Mydoom.A@mm後門活動。
此外,Symantec ManHunt 2.2/3.0/3.01客戶可以使用以下簽名來檢測對www.sco.com的拒絕服務攻擊。此簽名有助於識別發出請求的計算機。
********************開始文件******************
警告TCP any any-& gt;any 80(msg:W32 _ Novarg _ SCO _ DOS;內容:GET/HTTP/1.1 | 0d0a |主機:www。sco。com | 0d0a0d0a |偏移量:0;dsize:37;)
* * * * * * * * * * * * EOF * * * * * * * * * * * * * * * * * * * *
有關如何創建時間用戶簽名的更多幫助,請參考Manhunt管理指南:附錄a混合模式的自定義簽名。附錄A混合模式的自定義簽名。