当前位置:瑞星专用杀毒工具下载 >> “SCO炸弹(Worm.Novarg)”病毒专杀工具

“SCO炸弹(Worm.Novarg)”病毒专杀工具

工具名称:RavNovarg.exe
版 本 号:1.4
软件大小:97.5 KB

下载

应用平台:Windows平台
更新时间:2005-03-09
发布时间:2004-01-27
发布公司:北京瑞星信息技术有限公司


  工具下载

 

本地下载:下载

 

  软件说明

 
  • 1.4版新增可查杀病毒:Worm.Novarg.ar 。
  • 1.3版新增可查杀病毒:Worm.Novarg.h.dll.enc, Worm.Novarg.h.enc, Worm.Novarg.f.enc, Worm.Novarg.e.dll.enc, Worm.Novarg.e, Worm.Novarg.d.dll.enc, Worm.Novarg.d.enc
  • 1.2版新增可查杀病毒:Worm.Novarg.c, Worm.Novarg.c.dll, Worm.Novarg.c.enc。
  • 1.1版新增可查杀病毒:Worm.Novarg.b
  • 1.0版可查杀病毒:Worm.Novarg
  • 针对“SCO炸弹(Worm.Novarg)”病毒的专杀工具。下载工具后直接运行即可。
  • 专杀工具只能查杀独立的文件,不能查杀复合文档中的病毒,比如邮箱或者压缩文件,若需要全方位的对您的计算机进行杀毒或者防护,建议您购买并安装具备立体防毒功能的瑞星杀毒软件2004版盒装产品瑞星杀毒软件下载版,企业局域网用户请选用具备全网杀毒,管理方便的瑞星杀毒软件网络版产品
 

  病毒介绍

 

    病毒名称:SCO炸弹(Worm.Novarg)

    这是一个蠕虫病毒。用upx压缩。

    病毒行为:
    病毒运行后将在系统注册表试着打开HKEY_LOCAL_MACHINE\SOFTWARE
    \Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version这个键。
    如果失败病毒将认为是第一次运行在系统中加入该键。并在%temp%目录中随机生成一个文件(内容随机)并用notepad打开该文件。(这是病毒用来伪装的,病毒图标为一个文本文件)病毒将自己复制到%system%目录下,文件名为:taskmon.exe并在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run加入自己的键值:TaskMon

    后门:
    病毒释放一个dll文件到%system%目录中。文件名为:shimgapi.dll
    并将该文件以系统组件形式植入系统(以便随系统启动时启动)方式为:
    在加入注册表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 项。
    该模块为一个代理服务器,端口为3127至3198该模块还能根据传来的命令接受一个文件到本地系统并执行。

    Dos攻击:
    病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个。

    P2p共享传播:
    病毒将通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。
    文件名为:
    winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP
    office_crack,nuke2004
    扩展名为:
    .pif,.scr,.bat,.exe

    邮件传播:
    病毒将通过注册表得到当前用户使用的wab文件。并打开搜索其中的email地址。病毒还将遍历所有磁盘文件并从扩展名为:.htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb
    .pl ,.wab ,.txt中搜索email地址(病毒将避开.edu结尾的email地址)
    并对这些地址进行发送病毒邮件。

    病毒邮件的标题为以下其中之一:
    test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status
    Error

    邮件内容为:
    邮件内容为病毒用随机的数据进行编码。
    当编码失败时病毒用
    The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
    test
    The message contains Unicode characters and has been sent as a binary attachment.
    Mail transaction failed. Partial message is available.
    或空内容作为邮件正文。


    邮件的附件名为以下其中之一:
    document,readme,doc,text,file,data,test,message,body

    扩展名为以下其中之一:
    .pif,.scr,.exe,.cmd,.bat,.zip

    警报:"SCO炸弹"新变种现身 两年内持续攻击SCO网站