病毒名称:
W32.Lanieca.H@mm
类别: 邮件病毒
病毒资料:
该病毒长度 45,133 字节,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它使用自带的 SMTP 引擎传播,并记录用户键盘输入内容,收集用户口令,当收到、打开此病毒时,有以下危害:
A 复制自身到系统目录下的一个文件[系统卷的序列号].exe,文件名称是系统卷的序列号,不同的计算机名称不一样。
B 增加键值[系统卷的序列号]=[系统卷的序列号].exe到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动启动
C 如果系统是Win9X,注册自身为系统服务
D 从注册表获取用户名邮件地址 SMTP 服务器和 IP 地址
E 从以下文件扩展名的文件中收集邮件地址
.ASP
.dbx
.eml
.htm
.mbx
.sht
.tbb
F 将自身压缩为ZIP文件,发送到收集到的地址
G 发送的邮件为
主题:(以下之一)
screensaver
song
music
video
photo
girls
pic
message
image
news
details
resume
love
readme
内容:(空)
附件:(以下之一)
details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip
其中的附件使用一种特殊的技巧骗取用户打开,在文件名后加入很多空格之后加上第二扩展名(以下之一)
avi
doc
jpg
mp3
txt
wav
F 病毒邮件跳过包含以下内容的邮件地址
abuse
admin
hostmaster
localdomain
localhost
McAfee
messagelab
microsoft
noreply
postmaster
recipients
report
root
spam
symantec
trendmicro
webmaster
G 病毒自动收集以下口令
IE 自动完成的口令
IE 口令保护站点的口令
MSN口令
Outlook Express用户名和口令
H 临时文件保存在临时文件目录下的[五个字母随机内容的].tmp文件
I 收集到的口令使用一个脚本发送到地址 www.melaniecarroll.biz
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-9-19
