ChinaByte2月9日消息 本周我们将关注的病毒包括：蠕虫病毒Mydoom.A及其变种Mydoom.B、Mimail的变种Mimail.Q、Mimail.S以及Gaobot.DK和Dumaru.Z，特洛伊木马Govnodav.A。其中，尤为值得关注的是Mydoom.A，该蠕虫已成为计算机史上造成最为严重的疫情的病毒之一。

　　Mydoom.A和Mydoom.B通过特征变化多端的e-mail传播，同时也可以通过P2P文件共享 程序KaZaA传播。这两个蠕虫在感染计算机后可能执行的操作包括：

　　创建一个会在计算机开启后门的动态链接库，从而打开最初发现的从3127到3198之间可打开的TCP端口。

　　通过向发送请求GET/ HTTP/ 1.1执行分布式拒绝服务攻击。

　　打开Windows Notepad (NOTEPAD.EXE)，并使其显示乱码。

　　虽然具有以上共性，但Mydoom的变种在下列方面又有所区别。

　　为保证Mydoom.A的两个拷贝不在同一时间运行。该蠕虫创建了一个名为SwebSipcSmtxSO的互斥体Mydoom.B会改写Windows的host文件，从而将重定向某些Internet地址，这中间包括一些防病毒厂商的网址，其目的就是要阻止这些公司的防病毒产品得到更新。

　　Mydoom.B被设计为针对微软服务器执行拒绝服务攻击。

　　Mimail的2个变种Mimail.S和Mimail.Q也是通过特征不确定的e-mail传播，这2个蠕虫的主要特征是在计算机屏幕上显示一个伪造的微软表格，从而窃取用户的信用卡帐号、密码等机密信息，并发给某个e-mail地址。

　　Gaobot.DK是一个会影响运行Windows2003/XP/2000/NT系统的蠕虫病毒。为了尽可能扩大感染范围，它利用了RPCLocator、RPCDCOM以及WebDAV的漏洞，还会通过将自身复制到它进入的网络共享资源中进行传播。一旦运行，Gaobot.DK会连接到特定的IRCserver，等待执行控制指令。它还会终止某些防病毒软件、防火墙及系统检测根据的程序进程，从而使系统极易受到其它病毒和蠕虫的攻击。此外，它还能终止Nachi.A、Autorooter.A、Sobig.F及Blaster的几个变种病毒的程序进程。Gaobot.DK另一个值得注意的特征是：它会允许黑客获取被感染计算机上的信息，并运行文件、执行分布式拒绝服务攻击、通过FTP下载文件等操作。

　　Dumaru.Z通过一封主题为 Important information for you. Readitimmediately!、附件名为MYPHOTO.ZIP的e-mail传播。它会向找到的被感染计算机内的所有地址发送包含自身副本的一个邮件，而这封邮件中包含的Exploit/e编码会使携带了蠕虫的邮件在Outlook预览窗口被预览时自动运行。一旦感染计算机，Dumaru.Z会窃取e-gold帐户的信息，并打开2283和10000端口。该蠕虫还会下载Spybot.FC蠕虫病毒，Spybot.FC试图连接到域名为egold-hosting.com的IRCserver上，并使它的任务管理器、Windows注册表编辑器等管理工具失效。

　　最后，我们来看一下Govnodav.A，它是一个具有Keylogger特征的木马病毒。虽然它不会通过自身传播，但能利用垃圾邮件发送出去。一旦发现用户操作的按键中包含了特定的文字，Govnodav.A就会将这些按键文字存入一个文件，然后将其发送给该病毒的编写者。Govnodav.A运用这种方法确保有更大的可能性获取用户银行帐户的密码。