病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
61608
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个疯狂发送邮件的蠕虫病毒。该病毒通常被作为邮件附件发送,以.hta为扩展名。同时该病毒还能通过网络共享传播,并窃取用户机器上的信息。
1,释放下列病毒文件
%system%\ms[Random].exe
%system%\ms[Random]32.dll
C:\a
2,把释放的dll文件注入到其它进程。
3,添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
"Stubpath"="C:\COMMAND.EXE"
HKEY_CLASSES_ROOT\CLSID\{[RANDOMCLSID]}\InprocServer32
"(default)"="%System\[PATHTODLLWORMCOMPONENT]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"[FILENAMEOFTHEWORMDLLCOMPONENT]"="{[RANDOMCLSID]}"
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer
"web"="[http:]//***apfree.t35.com/***"
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
"EnableFirewall"="0"
4,删除下列文件:
%StartMenu%\Programs\Startup\userinit.exe
5,自动搜集用户机器上的电子邮件地址,把病毒作为附件,发送出去,附件通常为下列后缀名称:
msg.zip
message.zip
data.zip
mail.zip
6,搜索网络共享,把病毒拷贝过去。
7,窃取用户信息,发送到特定地址。
