Supp1.A
这是一个Word宏蠕虫,通过在发出的E-mail中插入一个特洛伊文档作为附件传播,当被打开时病毒拷贝文档到Anthrax.ini,把要展开的数据写到文件dll.lzh,并解压为dll.tmp,以上文件都放在Windows目录下。下一步这个蠕虫创建一个具有如下内容的Wininit.ini文件。
[rename]
nul=c:windowsdll.lzh
c:windowssystemwsock33.dll=c:windowssystemwsock32.dll
c:windowssystemwsock32.dll=c:windowsdll.tmp
第一行是删除dll.lzh,第二行是把原wsock32.dll改名为wsock32.dll。下一步启动时,这些指令将生效。这样wsock32.dll就被感染了。利用它,蠕虫就可监控外发邮件,一旦发现外发邮件,蠕虫就自动把特洛伊木马文档作为附件加到该邮件中进行传播,感染7天后,该病毒将把硬盘上所有以DOC、XLS、TXT、RTF、ZIP、ARJ、RAR为扩展名的文件长度置为0,从而破坏所有的数据文件。