2月18日下午,瑞星全球反病毒監(jiān)測網(wǎng)在國內(nèi)率先“諾維格”的第二個變種(Worm.mydoom/Worm.Novarg.c)。這是“諾維格”病毒的最新變種,技術(shù)特性幾乎與原病毒一致,只是發(fā)作時間做了修改,新病毒變種利用被感染的機器對SCO網(wǎng)站的攻擊將持續(xù)到2006年2月14日。
“諾維格”病毒曾經(jīng)在年初猖獗一時,給全球用戶造成了200多億美元的經(jīng)濟損失。隨著人們對自己的反病毒軟件進行升級,而且“諾維格”病毒和它的第一個變種會分別在2月12日和3月1日自動停止運行,因此病毒造成的影響才逐漸減小。
瑞星反病毒工程師表示,這個新變種的制造者目的很明確,那就是讓本已經(jīng)停止運行的病毒繼續(xù)傳播并且攻擊SCO網(wǎng)站。這位安全專家風(fēng)趣地說,看來SCO公司兩年內(nèi)是不得安寧了。
該病毒運行時會釋放后門程序為系統(tǒng)目錄下的 shimgapi.dll文件,該模塊為一個代理服務(wù)器,將打開端口3127至3198作為系統(tǒng)后門,該模塊還能根據(jù)傳來的命令接受一個文件到本地系統(tǒng)并執(zhí)行。
病毒會修改注冊表,替換系統(tǒng)中的默認(rèn)瀏覽器程序,使用戶一打開瀏覽器,就能自動執(zhí)行病毒。在注冊表啟動項里添加鍵值,實現(xiàn)隨系統(tǒng)啟動。
在硬盤上搜索電子郵件地址(病毒會避開.edu結(jié)尾的email地址),利用自帶的電子郵件引擎給這些地址發(fā)送帶毒郵件,病毒郵件的題目可能是:test、hi,、hello、Mail Delivery System,正文內(nèi)容隨機,附件即是病毒體。病毒附件采用雙后綴形式迷惑用戶,其實是可執(zhí)行文件??梢酝ㄟ^一些P2P共享軟件進行傳播,病毒運行時會通過注冊表Software\Kazaa\Transfer查詢P2P軟件的共享目錄,并以隨機選擇的文件名將自己復(fù)制到該目錄。
瑞星公司將于2月18日當(dāng)天進行升級,升級后的軟件版本號為16.14.10,此版本的瑞星殺毒軟件可以徹底查殺“SCO炸彈變種C”病毒。請廣大用戶盡快升級軟件并徹底查殺該病毒。用戶還可以隨時撥打瑞星反病毒急救電話:010-82678800來尋求反病毒專家的幫助!
