病毒名称(中文):
病毒别名:
I-Worm.Desos.a[AVP],W95.Stoogy.Worm@mm[NAV]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
16410
影响系统:
Win9xWinNT
病毒行为:
这是一个通过邮件传播的蠕虫病毒,会向被染机器上Windows地址簿及htm及html文件里的邮件地址发送带毒邮件。
1.病毒将自身拷贝至%SystemRoot%文件夹内,文件名从以下字母中选出连续的五个字母:
leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe
扩展名为.exe,例如:Esmtp.exe或lasoP.exe。
2.在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加病毒文件的键值,使Windows重启动的时候,病毒自动运行。
3.接着,病毒会从下列字符串中选择6个连续字母:
KeutlipoeRidewantResentriolamjOwertexpionKirtyun
PEGALSOMANTIDENTUSENSATOAPLEUTOWKLEMICOSNLIGHDRTE
用选择的6个连续字母构成的字符串创建一个注册表子键,并加到注册表HKEY_LOCAL_MACHINE\Software中,病毒再将两个键值添加至这个子键中,其中一个子键存储了一些内部信息。而所添加的键值名也是从上述字符串中选取6个连续字母构成。
比如:病毒会创建注册表键:
HKEY_LOCAL_MACHINE\Software\poeRid,并添加两个键值:MANTIDE及OMANTID。
4.感染本地机器上的.exe及.scr文件。
5.病毒在被感染机器所有后缀为ht*的文件中搜索邮件地址,如htm及html文件,然后将搜索到的地址创建一个邮件地址列表,并将在Windows地址簿中找到的地址也添加至此列表中。
接着便发送带毒邮件,特征如下:
