Worm/Mydoom.i

I-Worm/Mydoom.i

病毒长度：50,688 bytes (.exe), 大约50,800-51,000 bytes (.zip)

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Mydoom.i是一个群发邮件蠕虫，用C++编写并经UPX压缩过。病毒包含在一个加密的并具有.pif, .scr, .exe, .cmd, .bat,或.zip扩展名的附件里。此外病毒还具有记录键击能力，试图通过文件共享软件KaZaA进行传播。

传播过程及特征：

1.在临时文件夹下生成文件：%Temp%Message ---- 随机产生数据并用记事本程序打开。

在系统目录下复制自身为：%System%askmon.exe。

在系统目录下嵌入三个随机名字的.dll文件。

2.修改注册表：

添加键值"Taskmon" = "%System%askmon.exe "到：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

3.试图拷贝自身到KaZaA的download文件夹下，并用下列文件名：

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

winamp5

扩展名为下列之一：

.exe .scr .pif .cmd .bat .com .zip

4.在系统目录下嵌入一个记录键击的.dll文件，此文件名是随机的。然后蠕虫周期性的发送键击日志文件给黑客。

5.结束一些反病毒和安全软件及其相关的进程。

6.从下列类型的文件中收集邮件地址：

.adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab

并用自带的SMTP引擎发送邮件。邮件特征：

发件人：伪造

主题：空白或下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

邮件正文：空白或下列之一

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

test

附件：附件名为下列之一

body data doc document file message readme test text

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem

(Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。

%Temp% 是变量一般为 C:WindowsTEMP (Windows 95/98/Me/XP)

or C:WINNTTemp (Windows NT/2000)。