病毒名称(中文):
病毒别名:
WORM_WURMARK.J[趋势]Worm.Win32.Eyeveg.f[AVP]
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
80384
影响系统:
Win9xWinNT
病毒行为:
该病毒通过电子邮件传播,邮件伪装成个含有图片、音乐、新闻或屏保的电子邮件,诱使用户运行,附件中的病毒。病毒信件,没有内容,只有主题和附件。病毒一旦运行后,会搜索用户本地计算机中的电子邮箱地址,并向这些邮箱地址发送病毒体。
1、病毒运行后,将生成以下文件:
%System%\%随机文件名%.exe(病毒体,文件名字符均为大写,80384字节)
%System%\%随机文件名%.dll(IESpy间谍软件,1081字节)
%System%\%随机文件名%.dll(病毒的键盘记录文件)
2、向注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
%随机文件名%="%随机文件名%.exe"
以保证病毒能随计算机一起运行。
3、尝试修改以下键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy"StandardProfileEnableFirewall"="dword:00000000"
以关闭微软自带的防火墙。
4、尝试链接以下网站
www.melan********l.biz/
5、从以下扩展名文件中,搜索电子信箱地址:
ASP
PHP
HTM
HTML
SHT
WAB
ADB
TBB
DBX
6、过滤含有以下字符的地址信箱地址
abuse
admin
hostmaster
localdomain
localhost
mcafee
messagelab
microsoft
noreply
postmaster
recipients
reports
root
spam
symantec
webmaster
7、读取注册表
HKEY_CURRENT_USER\Software\Microsoft\InternetAccountManager\Accounts
以获得SMTP服务器
8、发送的邮件主题可能为以下之一:
details
girls
image
love
message
music
news
photo
pic
readme
resume
screensaver
song
video
9、邮件没有内容,只包含一个附件,附件名可能为以下之一:
details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip
以上这些文件也保存在本地的系统目录下
10、zip包内含有以下文件之一
details.doc.scr
girls.jpg.scr
image.jpg.scr
love.jpg.scr
message.txt.scr
music.mp3.scr
news.doc.scr
photo.jpg.scr
pic.jpg.scr
readme.txt.scr
resume.doc.scr
screensaver.scr
song.wav.scr
video.avi.scr