一、当含有"伪装者"(I-Worm/Gibe.b)网络蠕虫病毒的信件(冒充的是WINDOWS的补丁)被打开后,该病毒首先在WINDOWS目录下生成GIBE.DLL,接着新建立2个程序文件:一个是修改在注册表信息表项的DX3Rndr.EXE文件(大小73728 字节),该执行文件会随着系统启动而运行,该程序的主要功能是负责生成传播的EMAIL信件,并用来传播。另外产生的文件是MSBugAdv.EXE,文件的大小是24576字节,该程序的主要功能是搜集用来传播感染的EMAIL地址的。
二、"伪装者"网络蠕虫病毒修改的注册表项目是:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun键是DxLoad,数值是网络蠕虫生成的大小为73728字节的文件DX3Rndr.EXE,这样系统每次启动该网络蠕虫都能自动启动运行。
三、"伪装者"网络蠕虫病毒传播的信件的主题看起来好象是MICROSOFT WINDOWS security Update (微软的安全补丁)信息文件,而且还随带着附件,其实该附件就是该网络蠕虫本身。该附件的文件名称也是在变化的,从名字上看非常象WINDOWS 的安全补丁程序。名字是变化的、随机的:文件名称是UPDATE***.EXE 或者 PATCH***.exe(其中的*** 是随机选择的),前者给人的感觉是安全升级文件,
而后者则容易被人当作系统补丁程序。在人们对WINDOWS系统安全越来越重视的今天,需要广大的用户擦亮眼睛,及时升级自己的查杀病毒软件到最新版本,不要让病毒或者网络蠕虫有可乘之机。
四、"伪装者"网络蠕虫病毒还会自动搜索可写的局域网内的共享目录,并在WINDOWS的系统的可写的网络邻居的启动目录释放该网络蠕虫本身,这样做的目的是系统每次启动都能自动运行。
五、"伪装者"网络蠕虫病毒文件列表如下:
DX3Drndr.exe 73728 字节
gibe.dll 155648字节
MSBugAdv.exe 14576字节
v.exe 155648字节
六、和其他的感染IRC聊天室的病毒一样,"伪装者"网络蠕虫病毒是通过修改IRC的聊天的初始化文件SCRIPT.INI 来达到传染本通道内所有用户的目的,同时还能随时传染刚加入到该通道内的用户,用来传播的是可执行文件:
IEPatch.exe (伪装成IE的补丁文件)
KaZaA upload.exe (伪装成KaZaA 共享的上载文件)
Porn.exe (伪装成色情文件)
Sex.exe (伪装成色情文件)
XboX Emulator.exe (伪装成XboX的模拟器)
PS2 Emulator.exe (伪装成PS2的模拟器)
XP update.exe (伪装成XP的升级程序)
XXX Video.exe (伪装成视屏图象程序)
Sick Joke.exe (伪装笑话程序)
Free XXX Pictures.exe (伪装色情图片程序)
My naked sister.exe (伪装色情程序)
Hallucinogenic Screensaver.exe (伪装屏幕保护程序)
Cooking with Cannabis.exe
Magic Mushrooms Growing.exe
I-Worm_Give Cleaner.exe
用户最能接触的可能是以上的这些文件和接收到的含有病毒的邮件。
