病毒名称: VBS.Corica 类别: VB脚本蠕虫 病毒资料: 技术特征:
该蠕虫利用Outlook进行传播,感染后会向Outlook地址簿中的所有联系人发送病毒邮件,其中病毒邮件可能为英语或西班牙语,且具有如下特征:
英语:
主题:Hi
内文:Please open the attachment is very important.(请打开附件,非常重要!)
西班牙语:
主题:Hola
内文:Aquí te mando un anexo muy importante que lo abras.
附件:
Microsoft.vbs
(大小: 4,286 bytes)
不管邮件何种语言,附件名都是一样的:
运行后,蠕虫会将IE首页设为"http://www.latinguia.com/",并将自己复制成%Windows%Microsoft.vbs,同时会在注册表中设置一个键值,以创建指向病毒副本‘Microsoft.lnk‘ 的快捷方式:HKCUAutoSetupStartUp
假如没有这个目录,快建方式会创建在病毒运行的那个目录下。
该蠕虫还会在%Windows%目录下生成 ‘Microsoft.txt‘文本文件,并为VBS病毒文件创建一默认的“编辑”操作,用来在记事本中显示该生成的文本文件。相应的注册表修改为:
HKCRVBSFileShellEditCommand="%Windows%Notepad.exe %%Windows%Microsoft.txt"
假如用户机器上有当前桌面文件%Windows%Application DataMicrosoftInternet EXPlorerdesktop.htt,病毒会在其末尾添加Html格式"¡Viva Costa Rica!" 的文本,并在桌面文件拷至如下地址:
%Windows%Application DataMicrosoftInternet ExplorerWallpapr.htt
随后,它会修改如下注册表键,将桌面墙纸设置为Wallpapr.htt :
HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneralWallpaper。
最后,病毒会创建如下注册表键:
HKCUAutoSetupLandCosta Rica
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: 别名:VBS/Corica@MM
蠕虫“Corica”可修改被感染用户的桌面墙纸
发现日期: 2003-2-18
