病毒名称:
W32.AJM.Worm
类别: 蠕虫
病毒资料:
受影响系统:Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me
不受影响系统:Macintosh, Unix, Linux
病毒危害:
发送大量病毒邮件:会向未阅读邮件中发现的所有地址发送病毒邮件;
技术特征:
这是一个邮件蠕虫,感染后会利用Outlook向未读邮件中的所有邮件地址发送病毒邮件,其中邮件主题及内文都是韩语。附件也可能含有韩语字符,其附件可能为如下之一:
Heddink.exe
Go Korea.exe
RedDevil.exe
WorldCup.exe
2002.exe
病毒运行后,它会:
将自身拷贝至C:%system%文件夹,其中文件名随机地从病毒所带的列表中选择,某些文件名含有韩语字符。这些文件名可能为如下之一:
User32Rem.exe
UserGDL.exe
BihUpdate.exe
SysRtw32.exe
Win32Dll.exe
MsCrt32.exe
Temp32.exe
病毒随后添加指向此文件的键值到注册表:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中,这使得病毒随Windows启动而运行。
它会从所有未读邮件中获取邮件地址,然后利用Outlook将自身发往这些找到的地址。主题及邮件内容是用韩语写成的,内文也可能包含如下文本:
....GO Go 2002 World Cup Corea!!
附件名也可能含有韩语字符,可能的附件为:
Heddink.exe
Go Korea.exe
RedDevil.exe
WorldCup.exe
2002.exe
每逢星期四,病毒会弹出一信息框,其中文本是用韩语写的,其标题为:
Message From A
假如当前月为6月,病毒每次运行时都会弹出一信息框,其中文本含有韩语字符及"Here We Go! World Cup Corea!";
若当前月为12月,它会恢复所有最大化窗口到其先前大小,并且会打开一个窗口;
若当前月为11月,病毒每次运行时,会交换鼠标按钮;
若为7月7日,它会将鼠标指针指向某个指定的位置;
若是1月1日的话,鼠标指针会限定在屏幕上某个方框区域内。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
小心!韩语蠕虫“W32.AJM.Worm”开始蔓延!
发现日期:
2002-8-2
