I-Worm.Marazm.a

病毒名称:

I-Worm.Marazm.a

类别： 蠕虫病毒

病毒资料：

破坏方法：

该病毒是Delphi写的通过邮件传播的蠕虫病毒，采用ASPack压缩

一旦执行，该病毒将：

复制自己到系统目录：

"％SYSDIR％\Wincom.exe"

删除注册表编辑器： regedit.exe，导致用户无法进行注册表管理操作

在系统中生成自己的多个副本，比如：

C:\WINNT\Gm.exe

C:\WINNT\Message.exe

C:\WINNT\VScan.exe

病毒通过在系统中搜索如下扩展名的文件来获得Email地址：

*.htm

*.mht

*.sht

*.asp

*.PHP

*.vbs

*.XML

*.doc

*.dat

*.wri

*.xls

*.wab

*.txt

*.ini

*.dbx

*.mdb

*.adb

*.tbb

*.pl

并生成一个文件：％SYSDIR％\Winto.sys ,该文件病毒用来存放病毒搜索到的Email地址

它使用自己的SMTP引擎向所搜索到的Email地址发送带毒邮件来传播，邮件一般带有如下内容：

Hi!!! :-)

Hello

Hello!!!

test

Hello :-)

For you

Server Administration

Server News (AntiVirus)

OnlineShop

MicrosoftSupport

Your registration data

Error

FatalError

Registration

You want to know more?

I love you

Estimate the program...

Very good utility, estimate.

GeneratorMatov 5.0!!!

Attached EXE a file...

Lovi krutuu progu...

The message contains a congratulatory card, as the attached program.

Please check up the computer on presence of new worm Worm.Mor.b by theattached utility Dispatch of our catalogue of the goods Path for Microsoft Internet EXPlorer Your registration data are in the ciphered attached utility.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Dispatch of our catalogue of the goods. Rassilka nashego kotaloga tovarov.

Izza nekorektnoi raboti servera soobshenie ne moglo bit poslano v vide koderovki

ASCII i bilo poslono v vide dvoichnogo prilozenia.

Vashi registracionnie dannie nahodiatsa v zashifrovannoi utilite.

The generator of numbers of credit cards!!!

I LOVE YOU!!!

Mor.b

附件就是病毒，请用户不要执行类似这样病毒附件。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-4

• ·Worm.archivera
• ·worm.runouce
• ·I-Worm.Win32.Rusty.b
• ·I-Worm.Petik.f
• ·I-Worm.Alcaul.al
• ·I-Worm.Merlin.a
• ·WORM_BROPIA.D
• ·I-Worm.Antigos
• ·Worm.Win32.DipNet.c
• ·Worm.Win32.Vance.a