病毒名称(中文):
病毒别名:
Email-Worm.Win32.Buchon.e[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
37920
影响系统:
Win9xWinNT
病毒行为:
这是一个通过电子邮件传播的蠕虫病毒。该病毒会从某些特定文件和注册表项中收集邮件地址,并使用自己的SMTP引擎将病毒发送给这些邮件接收者。这些邮件伪装成用户发送邮件失败的返回邮件,提示说假如被退回的邮件没有自动显示,则要求用户打开附件来查看邮件,并且该邮件还以反病毒软件mcafee的名义说该邮件没有病毒,因此用户很可能受骗去打开附件而导致机器中毒。
1)释放病毒文件到C:\csrss.exe,生成另外一个文件C:\csrss.bin,该文件只有“2,4,0,0”这行数字。
2)在注册表中为病毒的开机自启动添加启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsupdateService"="c:\csrss.exe"
3)通过多种途径收集邮件地址:
从下列扩展名的文件中收集邮件地址:
.asp
.php
.cgi
.rtf
.doc
.htm
.html
.txt
.tbb
.mdb
.eml
.mbx
.wab
.dbx
从名字含有“inbox”的文件中收集邮件地址
在注册表HKEY_CURRENT_USER\Software\Microsoft\InternetAccountManager\Accounts\下收集邮件地址
4)使用自己的SMTP引擎将病毒邮件发送给这些邮件接收者:
邮件主题:MailDeliveryfailure-[邮件地址]
邮件正文:
Ifthemessagewillnotdisplayedautomatically,
youcancheckoriginalinattachedmessage.txt
Failedmessagealsosavedat:
www.[域名]/inbox/security/read.asp?sessionid-[4个随机数字]
(checkattachedinstructions)
+++Attachment:NoVirusfound
+++MC-AfeeAntiVirus-www.mcafee.com
附件:
messagetxt[空格]mcafee.com