I-Worm/Mydoom.l

I-Worm/Mydoom.l

病毒长度：21000 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Mydoom.l是用C++编写并经UPX压缩过的群发邮件网络蠕虫，具有记录键击的能力并将记录信息保存在临时文件夹，在感染的计算机上开后门。

传播过程及特征：

1.复制自身：

%Windir%lsass.exe

2.修改注册表：

/添加键值

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Traybar" = "%Windows%lsass.exe"

/生成子键

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPOSIX

3.试图复制自身到包含incoming /ftproot /download /shar等字符串的文件夹目录下，文件名为下列之一：

index

Kazaa Lite

Harry Potter

ICQ 4 Lite

WinRAR.v.3.2.and.key

Winamp 5.0 (en) Crack

Winamp 5.0 (en)

扩展名为exe/com/ShareReactor.com/scr

4.在TCP端口1042打开后门

5.从感染的计算机系统搜索.doc/.txt/.htm/.html类型文件，从中收集有效的邮件地址，并用自带的SMTP引擎发送自身到发现的所有地址。

邮件特征：

发件人：伪造地址

主题：下列之一

say helo to my litl friend

click me baby, one more time

hello

hi

error

status

test

report

delivery failed

Message could not be delivered

Mail System Error - Returned Mail

Delivery reports about your e-mail

Returned mail: see transcript for details

Returned mail: Data format error

附件：具有.bat/.cmd/.com/.exe/.pif/.scr/.zip等扩展名的文件，附件名为下列之一

空白

attachment

document

file

letter

mail

message

readme

text

transcript

此外它会避免向各大安全信息厂商发送自身。