病毒特征:MyDoom蠕虫病毒也被称作"挪威客"或“诺维格”(Novarg)。当病毒发作后,会在硬盘上htm、sht、php、asp、dbx、 tbb、adb、pl、wab、txt类型文件中搜索电子邮件地址,然后使用病毒自身的SMTP引擎发送带毒邮件,如果失败,则使用本地的邮件服务器发送;发送的病毒邮件主题和内容随机生成,多为模仿邮件服务器的退信,邮件内容都是一团乱码,附件中即为病毒体,名称一般为:document、 readme 、message、test等,后缀名包括“ .bat .cmd .exe, .pif, .scr, .zip”等。当用户打开附件时,病毒会利用记事本程序notepad.exe做掩护,打开TCP端口的3127到3198,设置一个后台程序,使黑客程序得以连接到该机器,并利用它作为代理服务器来获得网络资源。而且它的变种还可能对微软网站发起DoS拒绝服务攻击。任何使用微软Windows系统电子邮件程序的电脑都有感染的危险。
并且该病毒还会利用一个名为“KaZaA”的点对点工具进行传播。病毒将病毒体复制到该软件的共享目录,命名为“winamp5、icq2004- final、activation_crack、strip-girl-2.0bdcom_patches、rootkitXP、 office_crack、nuke2004”等工具软件名字,欺骗用户下载。
清除方法:首先按CTRL+ALT+DELETE打开windows任务管理器,终止病毒进程taskmon.exe的运行。如果你使用的是windows95/98/ME的系统, 可以使用其他进程管理工具来完成,比如WINDOWS优化大师中的进程管理工具等。
然后找到并删除病毒体及所生成的文件:%System%shimgapi.dll(功能是自动设置成一个代理服务器,并在TCP(3127到3198)下接受黑客的控制)、%temp%Message,(这个文件由随机字母通组成)、%System%taskmon.exe, (如果此文件存在,则用病毒文件覆盖。)(提示:%system%为系统目录,在Win9x系统中为windows\system。在NT及以上系统中为 Winnt\system32或Windows\system32。%temp%为临时目录,在“运行”窗口中输入%temp%即可直接打开。)
最后打开注册表编辑器,删除HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\ Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的病毒启动键值:TaskMon = %System%\taskmon.exe。另外还有两个子项是用来存储病毒活动信息的,也要删除: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32 \Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version。
