I-Worm/Mimail.q
I-Worm/Mimail.q
病毒长度:50,720、 32,768 bytes
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Mimail.q试图发送自身到从系统里找到的邮件地址,邮件正文和主题都是变化的。此外还有可能会出现一个提示对话框让你填写,从而盗取你的e-gold账号信息。此蠕虫包含了一个多态变形文件Sys32.exe和静态文件Outlook.exe。
病毒传播过程及特征:
1.在安装目录下生成Sys32.exe和Outlook.exe
2.将自身注册为一个服务进程。
3.修改注册表:
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"system"="%Windir%outlook.exe"键值
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下添加Explorer = 1 ,Explorer2 = 1 ,Explorer3 = 1 ,Explorer4 = 1 ,Explorer5 = 1 键值
4.可能出现一个欺骗性质的错误提示对话框:
主题: Windows
正文: ERROR:Bad CRC32
5.显示一个欺骗性质的系统截止通报,提示你输入信用卡帐号和一些个人信息,这些信息存储在C:Mminfo2.txt和 C:Mminfo.txt文件里。
信息项目如下:
姓名;地址;电话号码;邮件地址;信用卡号、截止日期、确认卡号;身份证号码;社会保险号码;生日;母亲姓名;驾驶执照。
蠕虫为达此目的生成四个文件:C:logo.jpg ,C:logobig.gif ,C:Mshome.hta ,c:Wind.gif
6.搜索包含域名为e-gold.com信息的所有Cookies文件夹,如果成功则先将其临时保存在C:Tmpeg2.txt和C:Tmpgld.txt下,然后发送匿名邮件到域名为mail15.com的地址。
7.检查本地机器TCP 端口 80、 1434 和1433 是否打开,并将其信息临时保存在Serv.txt下,然后发送匿名邮件到域名为mail15.com的地址。
8.在端口30000开后门,授予黑客远程访问其它计算机的权利。
9.搜索下列文件夹里的文件:
C:
C:Program Files
Application Data
Desktop
Common Programs
Startup
注:扩展名为.com,.wav,.cab,.pdf,.rar,.zip,.tif,.psd,
.ocx,.vxd,.mp3,.mpg,.avi,.dll,.exe,.gif,.jpg,
.bmp的文件除外!!
从中找到有效的邮件地址,并将这些信息保存在安装目录下的Outlook.cfg 里,然后发送匿名邮件到域名为mail15.com的地址。
10.利用自带的SMTP引擎发送Sys32.exe到找到的邮件地址,此邮件主题,附件名字和正文都是变化的。
此外,该蠕虫病毒代码中还包含了一些文字,威胁说要对某ISP进行DoS攻击,任何阻截该病毒把窃取到的信息发送给病毒作者的ISP也将遭到DoS攻击。