Worm.Warezov.a
病毒别名: 处理时间:2006-08-29 威胁级别:★
中文名称:神器祭坛 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个通过邮件传播的蠕虫病毒,该病毒会搜索被感染机器上的邮件地址并且把自己发送出去,会尝试下载该蠕虫的其他变种。
1.生成文件:
%WINNT%svchost32.exe
%Temp%document.elm .bat
%Temp%file.dat .cmd
%Temp%message.dat .exe
%Temp%message.msg .scr
%Temp%
eadme.dat .cmd
%Temp%
eadme.txt .scr
%Temp%est.msg .pif
%Temp%ext.dat .cmd
%Temp%ext.msg .exe
2.添加注册表项:
HKLCSystemControlSetControlSession Manager
"PendingFileRenameOperations" = "svchost32.exe"
3.发送邮件,通过邮件附件把自己传播出去:
附件名为以下任意一个:
body
data
doc
docs
document
file
message
readme
test
text
第一个后缀名为以下任意一个,以迷惑用户:
.dat
.elm
.log
.msg
.txt
实际的后缀名为以下任意一个:
.bat
.cmd
.exe
.pif
.scr
邮件主题为以下任意一个:
Error
Good Day
Mail Delivery System
Mail Transaction Failed
Server Report
Status
hello
picture
test
邮件内容为以下任意一个:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sentas a binary attachment.
The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
4.搜索被感染的机器上的以下文件,来获取邮件地址:
adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml
尝试连接下面的网址:
http://stra***nee.com/chr