病毒名称:
Worm.Wozer.f
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个用Delphi编写的蠕虫病毒
病毒行为:
病毒运行后将自己复制到%SYSTEM%目录下,文件名:jesus.exe
并在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键:WORM/WOZER@MM.B
病毒将在%SYSTEM%中生成TEST.ZIP,Z1P.TMP,ECARD.ZIP文件,这些文件为
病毒进行
邮件传播时使用的附件。
病毒将体内的一段文本信息生成到c:\NOTE.TXT文件中。
内容为:
THIS TIME IT WILL WORK
CROW, I STILL LOVE YOU...
...BUT YOU CANT SEE..
.. YOUR BLINDED
BY FEAR AND REALITY...
OH, HOW I WISH I COULD SAVE YOU..
.. BUT ITS ALL TO LATE, AS YOU FADE AWAY FROM ME
Mirc后门:
病毒使用随机生成的昵称登录Mirc的特定频道,以方便病毒作者对中了病
毒的系统
进行控制。(病毒提供了向中病毒的系统上传,并执行文件的功能)
局域网传播:
病毒枚举局域网共享资源,尝试将自己复制过去,并尝试利用系统计划任
务将病毒
启动。以达到传播目的。
P2P传播:
病毒通过读取注册表如:SOFTWARE\Kazaa\LocalContent\DownloadDir获
得一些P2P共享目
录,并将自己复制到该目录,文件名:UPDATE.EXE。以诱骗用户下载,达到
传播的目的。
邮件传播:
病毒对磁盘文件进行搜索,尝试从中提取其中的email地址,并向其发送
病毒邮件。
邮件特征:
发送者:"Superzone eCard"
附件名:TEST.ZIP,ECARD.ZIP...
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-7-29
