恶性蠕虫诺维格分析报告Windows系统 -电脑资料【实用3篇】

恶性蠕虫诺维格分析报告Windows系统 -电脑资料 篇一

恶性蠕虫诺维格分析报告Windows系统 -电脑资料 篇一

近日，我们收到了一份关于Windows系统中恶性蠕虫诺维格的分析报告。诺维格是一种危险的蠕虫程序，能够在Windows系统中迅速传播并造成严重的破坏。本报告将详细分析诺维格的特征和危害，并提供一些防范措施。

首先，诺维格蠕虫是一种通过网络进行传播的恶意软件。它利用系统漏洞和弱密码来感染Windows系统，并通过网络传播到其他电脑。一旦感染，诺维格会在系统中创建后门，允许黑客远程访问受感染的电脑。这意味着黑客可以窃取敏感信息，操控系统，甚至发起分布式拒绝服务攻击。

诺维格蠕虫还具有自我复制和自我更新的能力，使其在网络中传播得更快更广。它会利用系统的共享文件、邮件附件、可移动设备等方式传播到其他电脑。同时，诺维格还会不断更新自身，以逃避杀毒软件的检测。这使得其在系统中难以被发现和清除。

除了传播能力强外，诺维格还有其他一些危害。它可以利用感染的电脑进行挖矿活动，消耗电脑资源并获得加密货币。这不仅会导致电脑性能下降，还可能给用户带来额外的电费。此外，诺维格还可以窃取用户的个人信息，包括银行账号、信用卡信息等，给用户带来财务损失和个人隐私泄露的风险。

针对诺维格蠕虫的威胁，我们需要采取一些防范措施。首先，及时更新操作系统和软件补丁，以修复系统漏洞。其次，使用强密码并定期更换密码，以防止蠕虫通过弱密码感染系统。此外，安装可靠的杀毒软件和防火墙，及时扫描和清除电脑中的恶意软件。最后，谨慎打开邮件附件和下载来路不明的文件，以避免感染诺维格蠕虫。

总之，诺维格蠕虫是一种危险的恶意软件，能够在Windows系统中迅速传播并造成严重的破坏。为了保护我们的电脑和个人信息安全，我们需要加强对诺维格蠕虫的防范。只有及时更新系统、使用强密码、安装杀毒软件和防火墙，并谨慎打开邮件附件和下载文件，我们才能有效地避免诺维格蠕虫的感染。

恶性蠕虫诺维格分析报告Windows系统 -电脑资料 篇二

恶性蠕虫诺维格分析报告Windows系统 -电脑资料 篇二

近期，我们收到了一份关于Windows系统中恶性蠕虫诺维格的分析报告。这份报告详细分析了诺维格蠕虫的传播方式、危害和防范措施。在这篇文章中，我们将重点介绍如何识别和清除诺维格蠕虫。

诺维格蠕虫感染Windows系统后，会在系统中创建多个文件和注册表项。因此，我们可以通过检查系统中的文件和注册表项来识别诺维格蠕虫的感染。一般来说，诺维格蠕虫的文件名和注册表项名称会包含一些特定的字符，如“w32.novarg”，“W32.Mydoom”，“Win32.Randex”等。通过查找这些特定字符，我们可以确定系统是否被诺维格蠕虫感染。

一旦确认系统感染了诺维格蠕虫，我们需要采取一些措施来清除它。首先，我们可以使用杀毒软件进行扫描和清除。大多数杀毒软件都能够识别和清除诺维格蠕虫。其次，我们可以手动删除相关的文件和注册表项。要注意的是，在删除文件和注册表项之前，我们应该备份重要的数据，以免误删导致数据丢失。

除了识别和清除诺维格蠕虫，我们还可以采取一些预防措施来避免感染。首先，我们应该定期更新操作系统和软件补丁，以修复系统漏洞。其次，我们应该使用强密码并定期更换密码，以防止蠕虫通过弱密码感染系统。此外，安装可靠的杀毒软件和防火墙，并定期进行扫描和清除电脑中的恶意软件。最后，我们应该谨慎打开邮件附件和下载来路不明的文件，以避免感染诺维格蠕虫。

总之，诺维格蠕虫是一种危险的恶意软件，能够在Windows系统中迅速传播并造成严重的破坏。为了保护我们的电脑和个人信息安全，我们需要及时识别和清除诺维格蠕虫，并采取预防措施来避免感染。只有定期更新系统、使用强密码、安装杀毒软件和防火墙，并谨慎打开邮件附件和下载文件，我们才能有效地保护系统免受诺维格蠕虫的威胁。

恶性蠕虫诺维格分析报告Windows系统 -电脑资料 篇三

病毒名称: Worm.Novarg.a 中文名称: 诺维格 威胁级别: 4A 病毒别名: W32/Mydoom@MM [McAfee] WORM_ MI MAIL.R [Trend] W32.Novarg.A@mm [Sym ant ec] 受影响系统: Win9x/NT/2K/ XP /2003 金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫

中文名称:诺维格

威胁级别:4A

病毒别名:W32/Mydoom@MM [McAfee]

WORM_MIMAIL.R [Trend]

W32.Novarg.A@mm [Symantec]

受影响系统:Win9x/NT/2K/XP/2003

金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a)，该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具的共享目录来欺骗下载，

恶性蠕虫诺维格(Novarg/Mydoom)分析报告Windows系统

请立即升级金山毒霸病毒库到2004年1月27日的版本，即可完全处理该病毒。

技术特征：

1、创建如下文件：

%System%shimgapi.dll

%temp%Message， 这个文件由随机字母通组成。

%System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。

（注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；

3、添加如下注册表项：

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

TaskMon = %System%\taskmon.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

TaskMon = %System%\taskmon.exe

使病毒可随机启动；

添加如下注册表项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

用于存储病毒的活动信息。

4、对www.sco.com实施拒绝服务（DoS)攻击, 创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；

5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：

.htm

.sht

.php

.asp

.dbx

.tbb

.adb

.pl

.wab

.txt

6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；

7、邮件内容如下：

From: 可能是一个欺骗性的地址

主题:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

正文:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

附件名称:

document

readme

doc

text

file

data

test

message

body

可能的后缀:

pif

scr

exe

cmd

bat

zip

8、拷贝自己到KaZaA的共享目录下，伪装成如下文件，后缀可能为(pif\scr\bat)，欺骗其它KaZaA用户下载，达到传播的目的：

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

解决方案:

1>升级毒霸病毒库到最新, 进行全盘查杀即可.

2>手工清除:

<1>终止恶意程序:

打开windows任务管理器.

在windows95/98/ME系统中, 按CTRL+ALT+DELETE

在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.

在运行程序列表中, 找到进程: taskmon.exe

选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本).

为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.

关掉任务管理器.

*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.

<2>删除注册表中的自启动项目:

从注册表中删除自动运行项目来阻止恶意程序在启动时执行.

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter

在左边的面板中, 双击:

HKEY_CURRENT_USER>Software>Microsft>Win

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中, 找到并删除如下项目:

TaskMon = %System%\taskmon.exe

*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\Windows\System, 在WindowsNT和2000系统中是:WINNT\System32, 在Windows XP系统中是C:\Windows\System32.

*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.

<3>删除注册表中的其他恶意项目

如下是删除注册表中其他恶意项目的说明.

仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入"ComDlg32", 点击查找下一个.

当像如下键值出现时, 删除键值和数据:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer

\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

\ComDlg32\Version

关闭注册表编辑器.

原文转自：http://www.ltesting.net