病毒名称(中文):
神器祭坛
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
92829
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过邮件传播的蠕虫病毒,该病毒会搜索被感染机器上的邮件地址并且把自己发送出去,会尝试下载该蠕虫的其他变种。
1.生成文件:
%WINNT%\svchost32.exe
%Temp%\document.elm.bat
%Temp%\file.dat.cmd
%Temp%\message.dat.exe
%Temp%\message.msg.scr
%Temp%\readme.dat.cmd
%Temp%\readme.txt.scr
%Temp%\test.msg.pif
%Temp%\text.dat.cmd
%Temp%\text.msg.exe
2.添加注册表项:
HKLC\System\ControlSet\Control\SessionManager
"PendingFileRenameOperations"="svchost32.exe"
3.发送邮件,通过邮件附件把自己传播出去:
附件名为以下任意一个:
body
data
doc
docs
document
file
message
readme
test
text
第一个后缀名为以下任意一个,以迷惑用户:
.dat
.elm
.log
.msg
.txt
实际的后缀名为以下任意一个:
.bat
.cmd
.exe
.pif
.scr
邮件主题为以下任意一个:
Error
GoodDay
MailDeliverySystem
MailTransactionFailed
ServerReport
Status
hello
picture
test
邮件内容为以下任意一个:
Mailtransactionfailed.Partialmessageisavailable.
ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment.
Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment
4.搜索被感染的机器上的以下文件,来获取邮件地址:
adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml
尝试连接下面的网址:
http://stra***nee.com/chr