四、“Worm.Mydoom”蠕虫病毒

　　病毒特征：MyDoom蠕虫病毒也被称作"挪威客"或“诺维格”(Novarg)。当病毒发作后，会在硬盘上htm、sht、php、asp、dbx、tbb、adb、pl、wab、txt类型文件中搜索电子邮件地址，然后使用病毒自身的SMTP引擎发送带毒邮件，如果失败，则使用本地的邮件服务器发送；发送的病毒邮件主题和内容随机生成，多为模仿邮件服务器的退信，邮件内容都是一团乱码，附件中即为病毒体，名称一般为:document、readme 、message、test等，后缀名包括“ .bat .cmd .exe, .pif, .scr, .zip”等。当用户打开附件时，病毒会利用记事本程序notepad.exe做掩护，打开TCP端口的3127到3198，设置一个后台程序，使黑客程序得以连接到该机器，并利用它作为代理服务器来获得网络资源。而且它的变种还可能对微软网站发起DoS拒绝服务攻击。任何使用微软Windows系统电子邮件程序的电脑都有感染的危险。

　　并且该病毒还会利用一个名为“KaZaA”的点对点工具进行传播。病毒将病毒体复制到该软件的共享目录，命名为“winamp5、icq2004-final、activation_crack、strip-girl-2.0bdcom_patches、rootkitXP、office_crack、nuke2004”等工具软件名字，欺骗用户下载。

　　清除方法：首先按CTRL+ALT+DELETE打开windows任务管理器，终止病毒进程taskmon.exe的运行。如果你使用的是windows95/98/ME的系统, 可以使用其他进程管理工具来完成，比如WINDOWS优化大师中的进程管理工具等。

　　然后找到并删除病毒体及所生成的文件：%System%shimgapi.dll（功能是自动设置成一个代理服务器，并在TCP(3127到3198)下接受黑客的控制）、%temp%Message，（这个文件由随机字母通组成）、%System%taskmon.exe, （如果此文件存在，则用病毒文件覆盖。）（提示：%system%为系统目录，在Win9x系统中为windows\system。在NT及以上系统中为Winnt\system32或Windows\system32。%temp%为临时目录，在“运行”窗口中输入%temp%即可直接打开。）

　　最后打开注册表编辑器，删除HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的病毒启动键值：TaskMon = %System%\taskmon.exe。另外还有两个子项是用来存储病毒活动信息的，也要删除： HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Explorer\ComDlg32\Version和
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\ComDlg32\Version。（待续）