Worm.Wurmark.k

病毒名称(中文):

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

290611

影响系统:

Win9xWinNT

病毒行为:

该病毒通过电子邮件传播，邮件伪装成个含有图片、音乐、新闻或屏保的电子邮件，诱使用户运行，附件中的病毒。病毒信件，没有内容，只有主题和附件。病毒一旦运行后，会搜索用户本地计算机中的电子邮箱地址，并向这些邮箱地址发送病毒体。

1.该病毒运行时调用IE显示一张大猩猩的图片,如下

2.从网络上下载Rot系列病毒

3.向染毒用户机器的其它好友发送带毒邮件,该邮件具有如下特征:

主题:(随机)

HeheheLOL!!

YourPhotoIsOnAWebpage!!

HeyRateMyPicPlz...

Someoneadmire"syou!

正文:(随机)

Ijustsawthisonmycomputerfromawhileago

downloaditandseeifyoucanrememberit

loliwaslauginglikecrazywhenisawit!:D

emailmebackhehe...

Iwasvieweingthiswebsiteandcameacross

apicturetheylookjustlikeyou!infactimsure

itishaha,didyouemailthispicintothem?or

isitsomeonceelse:S?picisattached

azipsodownloaditandcheck&emailmeback!

Hiivesent5emailsnowandnobodywillrate

mypic!!:(pleasedownloadandtellmewhatyou

thinkoutof10,dontworryifyoudontlikeit

justsayiwontbeoffendedp.siwasdrunkwhen

itwastaken:P

Someonehasaskedusontherebehalftosend

youthisemailandtellyoutheythinkyouare

wonderfull!!!AlltheThemysterypersonsdetails

youneedareenclosedintheattachment:)

pleasedownloadandrespondtellingusifyou

wouldliketomakefurthercontactwiththis

person.

RegardsHallmarkAdmirerMailAdmin.

附件:

Download.zip

5.该病毒会在用户机器System32目录下释放以下文件:

regedit.com

taskmgr.exe

tasklist.com

taskkill.com

netstat.com

tracert.com

ping.com

cmd.com

bszip.dll

wini.exe

6.修改注册表使病毒能够随计算机启动启动

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

IERuntime"wini.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IERuntime"wini.exe"

• ·Win32.Troj.Lineage.es
• ·Win32.Troj.Lmir.ae
• ·Worm.Anker.j
• ·Win32.Troj.Lineage.eq
• ·Worm.Wurmark.j
• ·Win32.Troj.PSWLmir.xa
• ·BAT.StartPage
• ·Win32.Troj.Banker.rc
• ·Worm.Mytob.au
• ·Worm.Sober.q