I-Worm/Jubon

I-Worm/Jubon

病毒长度：61,440 bytes, 32,764 bytes, 69,632 bytes

病毒类型：网络蠕虫

危害等级：*

影响平台：Win9X/2000/XP/NT

I-Worm/Jubon通过邮件发送自身进行传播，邮件从自带的URL下载更新。

传播过程及特征：

1.在安装目录下复制自身为James.exe。

2.修改注册表：

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"James"="james.exe"键值

把HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain的键值设置为"Start Page"="http://bestweb.tv"

3.下载并执行一个名为Bond.exe的文件，用于发送蠕虫。

4.下载Maildata.ini和Systems.ini文件到Windows的安装目录下，用于指定邮件内容。

5.利用SMTP的25端口连接下列服务器来发送蠕虫自身：

mx1.mail.yahoo.com

mx1.mail.yahoo.co.kr

mx2.mail.yahoo.co.kr

mdss1.kebi.lycos.co.kr

mdss2.kebi.lycos.co.kr

mdss3.kebi.lycos.co.kr

mdss4.kebi.lycos.co.kr

mdss5.kebi.lycos.co.kr

smtp.hanmir.com

smtp.nate.com

mhr.hanafos.com

mx1.empal.com

6.发送带病毒的电子邮件到有下列域名的任意用户：

empal.com

hanmail.com

daum.net

yahoo.co.kr

kebi.com

hanmir.com