安全公告CN-SA04-35A
发布日期：2004-7-27
安全等级：三级
公开程度：公共

　　7月26日，CNCERT/CC收到来自FIRST的消息，称Mydoom蠕虫M变种在欧美爆发，国外某知名病毒厂商针对该蠕虫变种发布了罕见的4级告警。根据CNCERT/CC在APCERT组织内部的沟通，香港、马来西亚、新加坡、台湾和日本等亚洲地区均反馈未发现蠕虫传播的迹象。目前，CNCERT/CC尚未收到来自国内的相关事件报告。
　　
　　CNCERT/CC已对该蠕虫采取措施进行监测。同时，鉴于Mydoom.M变种的严重性，CNCERT/CC提醒广大计算机用户，共同采取安全措施，严防该蠕虫变种在国内传播。

分析：

　　W32.Mydoom.M@mm是Mydoom蠕虫一个新的变种。它是一个通过邮件来传播的蠕虫。它通常用假的发件人地址来欺骗收件人。它会随机在附件中添加不同扩展名的文件。一旦附件被收件人打开并运行，蠕虫将其自身以随机的名称拷贝到windows系统文件夹中，并且创建一个键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM="%Windows%\java.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\\Run "Services" = %WinDir%\SERVICES.EXE
HKEY_CURRENT_USER\Software\Microsoft\Daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

　　一旦病毒从被感染的电脑收集邮件地址，它将向下列引擎发出申请来寻找同样域名下的邮件地址,同时可能造成DoS攻击：
　　• http://search.lycos.com
　　• http://www.altavista.com
　　• http://search.yahoo.com
　　• http://www.google.com

　　该蠕虫同时会利用后门程序开放TCP 1034端口，等待远程连接。该后门程序被Symantec检测为Backdoor.Zincite.A。

　　蠕虫将从下面扩展名的文件中收集邮件地址：
　　• hlp
　　• tx*
　　• asp
　　• ht*
　　• sht*
　　• adb
　　• dbx
　　• wab

　　它会跳过含有下面字符串的域名：
　　• arin.
　　• avp
　　• bar.
　　• domain
　　• example
　　• foo.com
　　• gmail
　　• gnu.
　　• google
　　• hotmail
　　• microsoft
　　• msdn.
　　• msn.
　　• panda
　　• rarsoft
　　• ripe.
　　• sarc.
　　• seclist
　　• secur
　　• sf.net
　　• sophos
　　• sourceforge
　　• spersk
　　• syma
　　• trend
　　• update
　　• uslis
　　• winrar
　　• winzip
　　• yahoo

　　它将跳过所有邮件帐号中含有下面字符串的邮件：
　　• anyone
　　• ca
　　• feste
　　• foo
　　• gold-certs
　　• help
　　• info
　　• me
　　• no
　　• nobody
　　• noone
　　• not
　　• nothing
　　• page
　　• rating
　　• root
　　• site
　　• soft
　　• someone
　　• the.bat
　　• you
　　• your
　　• admin
　　• support
　　• ntivi
　　• submit
　　• listserv
　　• bugs
　　• secur
　　• privacycertific
　　• aclearcase/" target="_blank" >ccoun
　　• sample
　　• master
　　• abuse
　　• spam
　　• mailer-d

受影响版本：
　　Windows 2000
　　Windows 95
　　Windows 98
　　Windows Me
　　Windows NT
　　Windows Server 2003
　　Windows XP

解决方案：

　　由于该病毒感染文件随机性较强，手工定位较为困难。建议及时升级防病毒软件，予以清除。
　　
　　也可以从下面的链接中下载清除工具：
　　Mcafee
　　http://vil.nai.com/vil/stinger

　　Symantec
　　http://securityresponse.symantec.com/avcenter/FxMydoom.exe

参考信息：
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.m@mm.html
http://www.sophos.com/virusinfo/analyses/w32mydoomo.html

其他信息：
　　CVE编号：
　　首次发布日期：2004-7-27
　　修订次数：0

漏洞报告文档编写：
　　CNCERT/CC
-----------------------------------------------------------------------------------

　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident

　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。