TrojanProxy.Jubon.b
TrojanProxy.Jubon.b
病毒长度:61,440 字节, 32,764 字节, 69,632 字节
病毒类型:代理木马
危害等级:*
影响平台:Win9X/2000/XP/NT
TrojanProxy.Jubon.b通过邮件发送自身进行传播,邮件从自带的URL下载文件更新。
传播过程及特征:
1.在安装目录下复制自身为James.exe。
2.修改注册表:
/添加键值
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"James"="james.exe"
/修改键值
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]
"Start Page"="http://bestweb.tv"
3.下载并执行一个名为Bond.exe的文件,用于发送蠕虫。
4.下载Maildata.ini和Systems.ini文件到Windows的安装目录下,用于指定邮件内容。
5.利用SMTP的25端口连接下列服务器来发送蠕虫自身:
mx1.mail.yahoo.com
mx1.mail.yahoo.co.kr
mx2.mail.yahoo.co.kr
mdss1.kebi.lycos.co.kr
mdss2.kebi.lycos.co.kr
mdss3.kebi.lycos.co.kr
mdss4.kebi.lycos.co.kr
mdss5.kebi.lycos.co.kr
smtp.hanmir.com
smtp.nate.com
mhr.hanafos.com
mx1.empal.com
6.发送带病毒的电子邮件到有下列域名的任意用户:
empal.com
hanmail.com
daum.net
yahoo.co.kr
kebi.com
hanmir.com