病毒名称(中文):
病毒别名:
Email-Worm.Win32.Buchon.e[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
38432
影响系统:
Win9xWinNT
病毒行为:
这是一个通过电子邮件传播的蠕虫病毒。该病毒会从某些特定文件和注册表项中收集邮件地址,并使用自己的SMTP引擎将病毒发送给这些邮件接收者。这些邮件谎称用户的机器中了色情网站的恶意程序,诱骗用户打开附件,从而导致用户机器中毒。
1)释放病毒文件到C:\csrss.exe,生成另外一个文件C:\csrss.bin,该文件只有类似“2,4,0,0”这样的数字。
2)在注册表中为病毒的开机自启动添加启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsupdateService"="c:\csrss.exe"
3)通过多种途径收集邮件地址:
从下列扩展名的文件中收集邮件地址:
.asp
.php
.cgi
.rtf
.doc
.htm
.html
.txt
.tbb
.mdb
.eml
.mbx
.wab
.dbx
从名字含有“inbox”的文件中收集邮件地址
在注册表HKEY_CURRENT_USER\Software\Microsoft\InternetAccountManager\Accounts\下收集邮件地址
4)使用自己的SMTP引擎将病毒邮件发送给这些邮件接收者:
邮件主题:Important!XXXsitesfoundonyourcomputer!
邮件正文:
WindowsEvidenceCheckerhasfoundXXXcontentonyourcomputer.
YoucanhideyouractivitieswithEvidenceCleanerservice.
TorunEvidenceCleaneropenthequickshortcutattached.
Youmustselect[Openit]whensecuritydialogwillbedisplayed.
Warning!YourcopyofEvidenceCleanerwillbeexpiredafter7days.
TodayyoucanregisterforFREE.
Pleasecheckattachedinstructionsformoredetails.
