I-Worm/Mydoom.l
病毒长度:21000 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Mydoom.l是用C++编写并经UPX压缩过的群发邮件网络蠕虫,具有记录键击的能力并将记录信息保存在临时文件夹,在感染的计算机上开后门。
传播过程及特征:
1.复制自身:
%Windir%lsass.exe
2.修改注册表:
/添加键值
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"Traybar" = "%Windows%lsass.exe"
/生成子键
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPOSIX
3.试图复制自身到包含incoming /ftproot /download /shar等字符串的文件夹目录下,文件名为下列之一:
index
Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2.and.key
Winamp 5.0 (en) Crack
Winamp 5.0 (en)
扩展名为exe/com/ShareReactor.com/scr
4.在TCP端口1042打开后门
5.从感染的计算机系统搜索.doc/.txt/.htm/.html类型文件,从中收集有效的邮件地址,并用自带的SMTP引擎发送自身到发现的所有地址。
邮件特征:
发件人:伪造地址
主题:下列之一
say helo to my litl friend
click me baby, one more time
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
附件:具有.bat/.cmd/.com/.exe/.pif/.scr/.zip等扩展名的文件,附件名为下列之一
空白
attachment
document
file
letter
message
readme
text
transcript
此外它会避免向各大安全信息厂商发送自身。
