Worm.Cult.c

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

6515

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个通过KAZAA文件共享系统和电子邮件传播的蠕虫病毒。该病毒会将自己拷贝到系统目录中，建立一个“hsdfgefju”文件夹并将多个病毒副本拷贝到该文件夹中，再通过修改注册表将KAZAA的共享目录定位到该文件夹，诱骗其他用户下载运行。此外，该病毒还伪造发信人向收集到的邮件接收者发送带有病毒的邮件，而这些邮件都被伪装成电子贺卡的形式，欺骗性极强。

1.将自己拷贝到系统目录中：

C:\WINNT\System32\wuaumgq.exe

建立一个hsdfgefju文件夹，里面存放多个病毒副本：

C:\WINNT\System32\hsdfgefju\zoneallarm_pro_crack.exe

C:\WINNT\System32\hsdfgefju\AVP_Crack.exe

C:\WINNT\System32\hsdfgefju\SMS_sender.exe

C:\WINNT\System32\hsdfgefju\DivX5.03Codecs.exe

C:\WINNT\System32\hsdfgefju\Downloadaccelarator.exe

C:\WINNT\System32\hsdfgefju\PaintShopPro7Crack_By_Force.exe

C:\WINNT\System32\hsdfgefju\ZoneAlarmProKeyGen.exe

C:\WINNT\System32\hsdfgefju\porn.exe

C:\WINNT\System32\hsdfgefju\hotgirls.exe

C:\WINNT\System32\hsdfgefju\SM.exe

释放另外一个脚本病毒：

C:\WINNT\System32\opwfbdsg.txt

2.添加注册表启动项：

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

"Winsockdriver"="wuaumgq.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"Winsockdriver"="wuaumgq.exe"

3.通过修改注册表来修改KAZAA文件共享系统的路径到病毒目录：

HKCU\SOFTWARE\KAZAA\LocalContent

"Dir0"="012345:C:\WINNT\System32\hsdfgefju\"

4.向收集来的地址发送带毒邮件：

主题：Hi,IsentyouaneCardfromBlueMountain.com

正文：

ToviewyoureCard,opentheattachment

Ifyouhaveanycommentsorquestions,pleasevisithttp://www.bluemountain.com/customer/index.pd

ThanksforusingBlueMountain.com.

附件：BlueMountaineCard.pif

• ·Worm.Brontok.c
• ·Win32.Troj.PswQQ.zh
• ·Win32.Hack.Nuclear.ag
• ·Win32.Troj.QQMsgBook
• ·Win32.Troj.QQExplorer
• ·Worm.Ecoli
• ·Win32.Troj.QQPass.md
• ·Worm.Brontok.e
• ·Worm.FakeDoc
• ·Win32.Troj.QQRobber.fb