ChinaByte 1月29日消息 (1)最新网络蠕虫I-Worm/Novarg(挪威客)是什么时候被发现的?

  答:该蠕虫在国内最先被北京江民科技的反病毒小组发现,并上报国家有关主管部门,同时在第一时间升级了KV系列查杀病毒软件的所有版本的查杀病毒库,拥有KV系列软件的用户只要智能升级到1月27日后的即可查、杀、实时监视该病毒。

  (2)最新网络蠕虫I-Worm/Novarg(挪威客)和冲击波病毒蠕虫本质的区别是什么?

  答:实际上虽然他们两者都是蠕虫程序,都通过邮件来传播,但是和冲击波I-Worm/Blaster利用微软操作系统漏洞不同的是:最新网络蠕虫I-Worm/Novarg(挪威客)不利用操作系统的漏洞来传播,人们的好奇心再次成为了病毒传播的“桥梁”。只不过这次最新网络蠕虫I-Worm/Novarg(挪威客)的骗术更加高明点:利用写字板Notepad掩护,同时发送蠕虫的信笺看起来都是一团乱码,发送蠕虫的邮件的主题、发件人、甚至附件的名称等都是随机变化的,这些都加重了识别它的难度。

  (3)除了利用邮件传播外,最新网络蠕虫I-Worm/Novarg(挪威客)还能利用别的方式来传播吗?

  答:能,除了利用邮件传播(这是该蠕虫的最明显特征),同时该蠕虫还能利用Kazaa一种共享的应用程序来传播:蠕虫会自动识别在受感染的机器中是否安装有该应用程序,如果有,就会利用它进行传播。

  (4)最新网络蠕虫I-Worm/Novarg(挪威客)的一个表现是Message.doc,那么这个蠕虫是DOC格式的吗?

  答:不是的,这个最新网络蠕虫I-Worm/Novarg(挪威客)实际上是一个WINDOWS的标准的PE格式的可执行文件,而不是文档文件,Message.doc 只是该蠕虫故意将自身的文件名称“修改”DOC类型的,实际上的文件还是EXE文件,同时该蠕虫为了隐藏自己,还将自身的EXE文件的图标修改成纯文本形式,因此普通人看起来还有点象纯文本文件呢!

  (5)最新网络蠕虫I-Worm/Novarg(挪威客)的主要破坏作用是什么?

  答:最新网络蠕虫I-Worm/Novarg(挪威客)的主要破坏作用一大量发送含有蠕虫的信件,这些信件大部分看起来都是些乱码,引起邮件系统的堵塞、设置瘫痪;二是在感染的机器上安装后门程序,相当于该远程的黑客程序或者病毒制作者控制感染机器的可能;三是将受感染的机器设置成代理服务器,使得每个感染的机器都成为发送蠕虫程序的新的“源头”;四是对某网站发起拒绝服务DoS攻击.

  (6)最新网络蠕虫I-Worm/Novarg(挪威客)的可能邮件形式是?

  答:以下是北京江民科技反病毒小组监视到的一个网络蠕虫的样本图示。注意这里指出的只是一个可能的形式,由于该蠕虫可能变化很多形式,因此建议用户还是智能升级到江民杀毒软件的最新版2004年1月27日后的来实时监视该蠕虫。(如图)

  (7)该最新网络蠕虫I-Worm/Novarg(挪威客)修改系统注册的哪些部分?

  回答:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_CURRENT_USER\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

  前两者的主要作用是使得系统每次启动,蠕虫都能自动运行;

  第三项的作用是给WINDOWS系统增加一个CLSID,使得系统每次运行EXPLORER,蠕虫也都能同时激活,这是该蠕虫比较新鲜的特点,后面两者的作用是蠕虫为了识别自身而增加的。

  实际上绝大多数网络都会修改系统注册信息,从而达到蠕虫自身的目的。江民杀毒软件KV系列的注册表监视功能都能识别到这些变化,因此即使不升级江民杀毒软件,江民杀毒软件的注册表监视功能也能识别到该病毒对系统注册表的修改。

  (8)最新网络蠕虫I-Worm/Novarg(挪威客)的邮件的主题可能有哪些?

  答:最新网络蠕虫I-Worm/Novarg(挪威客)的发信人是随机变化的,但是邮件的主题却是有规律可循的,他们大致是以下的几种中任意选择的:他们都是纯英文的:

  test  (测试)

  hi   

  hello
  Mail Delivery System    (邮件传送系统)

  Mail Transaction Failed (邮件传送失败)

  Server Report     (服务器报告)

  Status            (状态)

  Error             (错误)

  掌握这点,对识别该蠕虫还是非常有用的。

  (9)最新网络蠕虫I-Worm/Novarg(挪威客)的附件文件可能有哪些?

  答:附件的文件名称可能有:document
  readme
  doc
  text
  file
  data
  test
  message
  body
  附件扩展名称可能有:
  pif
  scr
  exe
  cmd
  bat
  zip
  因此一共可能的文件名称有8*6=48种之多。以上图示显示的文件名称是:body.zip.

  同时由于蠕虫的大小是固定的,因此该附件的大小是相同的。

  (10)最新网络蠕虫I-Worm/Novarg(挪威客)的出现可能预示着下步蠕虫的发展动向吗?

  答:从最新的蠕虫来看,蠕虫的发展还是向着复杂多变,尽可能利用各种途径和手段来传播自身。虽然利用操作系统漏洞是途径之一,但是别的途径也是不可忽略的,提高用户的防范意识,不人为给蠕虫“牵线搭桥”,也是非常重要的。(完)