病毒名称:
W32.Duksten.B@mm
类别: 蠕虫
病毒资料:
受影响系统:Windows 95, Windows 98, Windows ME, Windows NT, windows 2000, Windows XP
不受影响系统:Windows 3.x, Macintosh, OS/2, Unix, Linux
病毒危害:
发送大量邮件:会将病毒的Zip包发送给Windows地址簿中的所有联系人。
技术档案:
这是一个邮件蠕虫,利用自己的SMTP引擎向Windows地址簿中的所有联系人发送病毒的Zip包。其邮件特征为:
发件人:Alerta_RaPida
主题:ProTeccion TOTAL contra W32/Bugbear (30dias)
附件:PROTECT.ZIP
1、病毒运行后,会:
将自己复制成C:%system%PrTecTor.exe
2.首先将C:%windir%Regedit.exe更名为C:%windir%m-Regedit.exe,之后将自己复制成C:%windir%Regedit.exe;
3.创建如下文件:
C:%system%m-Base64.xrf:文本文件,存储病毒在本地机器上找到的所有邮件地址;
C:%system%m_Prgrm.zip:Zip文件,其中包含了病毒副本程序ProTecT.exe;
C:%system%m_WAB.XRF:MIME编码文件m_Prgrm.zip;
4.在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
中创建键值:XRF C:%System%PrTecTor.exe,使得Windows启动时病毒会自动运行;
5.搜索注册表中的默认邮件帐号SMTP服务器,利用该帐号发送Zip包;
6.如果当前系统日期为2003年,病毒会重启Windows;
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
别名:W32.Protex.Worm, Worm_Bogusbear.A [Trend]
警惕:“Duksten”蠕虫借“熊熊虫”之名传播
发现日期:
2002-10-23
