Win32.Troj.Wargam.a

病毒别名：I-Worm.Wargam，WORM_WARGA.A，W32/Warga@MM

处理时间：2002-02-25

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个向Microsoft Outlook地址簿中地址发送带毒邮件的蠕虫病毒, 附件名称为:article.doc.exe。

1.病毒首先拷贝自身到

%System%article.doc.exe

%System%wrrrrrrr.exe（或www.exe）

另外，创建大小约650字节的临时文件：%SystemRoot%wargames.vbs。

2.此邮件蠕虫病毒利用MAPI来发送带毒邮件。它会获取Outlook中的联系人地址以及机器上其他文件中取得所有的邮件地址，然后向这些地址发送带毒邮件。它所发送的邮件信息如下：

主题：

Hi read this.

正文：

I found this on the web and it is important.

Open the attached file and read.

附件：article.doc.exe

3.病毒会修改win.ini文件，使Win9x的机器重启后能运行病毒：

[windows]

run=www.exe

4.病毒会添加如下注册表运行键，使得系统启动时病毒自动运行：

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

"run"="wrrrrrrr.exe(或www.exe)"

5.病毒还会在“添加/删除程序”文件夹中创建一个假的卸载项“Wargames Uninstall”，若该卸载项被选，病毒会试图使鼠标失效。