I-Worm/Gibe.b

一、當含有"偽裝者"（I-Worm/Gibe.b）網路蠕蟲病毒的信件（冒充的是WINDOWS的補丁）被打開後，該病毒首先在WINDOWS目錄下生成GIBE.DLL，接著新建立2個程式檔案：一個是修改在註冊表信息表項的DX3Rndr.EXE檔案(大小73728 位元組)，該執行檔案會隨著系統啟動而運行，該程式的主要功能是負責生成傳播的EMAIL信件，並用來傳播。另外產生的檔案是MSBugAdv.EXE,檔案的大小是24576位元組,該程式的主要功能是蒐集用來傳播感染的EMAIL地址的。

二、"偽裝者"網路蠕蟲病毒修改的註冊表項目是：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵是DxLoad，數值是網路蠕蟲生成的大小為73728位元組的檔案DX3Rndr.EXE，這樣系統每次啟動該網路蠕蟲都能自動啟動運行。

三、"偽裝者"網路蠕蟲病毒傳播的信件的主題看起來好象是MICROSOFT WINDOWS security Update (微軟的安全補丁)信息檔案，而且還隨帶著附屬檔案，其實該附屬檔案就是該網路蠕蟲本身。該附屬檔案的檔案名稱稱也是在變化的，從名字上看非常象WINDOWS 的安全補丁程式。名字是變化的、隨機的：檔案名稱稱是UPDATE***.EXE 或者 PATCH***.exe(其中的*** 是隨機選擇的),前者給人的感覺是安全升級檔案，

而後者則容易被人當作系統補丁程式。在人們對WINDOWS系統安全越來越重視的今天，需要廣大的用戶擦亮眼睛，及時升級自己的查殺病毒軟體到最新版本，不要讓病毒或者網路蠕蟲有可乘之機。

四、"偽裝者"網路蠕蟲病毒還會自動搜尋可寫的區域網路內的已分享資料夾，並在WINDOWS的系統的可寫的網路鄰居的啟動目錄釋放該網路蠕蟲本身，這樣做的目的是系統每次啟動都能自動運行。

五、"偽裝者"網路蠕蟲病毒檔案列表如下：

DX3Drndr.exe 73728 位元組

gibe.dll 155648位元組

MSBugAdv.exe 14576位元組

v.exe155648位元組

六、和其他的感染IRC聊天室的病毒一樣，"偽裝者"網路蠕蟲病毒是通過修改IRC的聊天的初始化檔案SCRIPT.INI 來達到傳染本通道內所有用戶的目的，同時還能隨時傳染剛加入到該通道內的用戶，用來傳播的是執行檔：

IEPatch.exe （偽裝成IE的補丁檔案）

KaZaA upload.exe （偽裝成KaZaA 共享的上載檔案）

Porn.exe （偽裝成色情檔案）

Sex.exe （偽裝成色情檔案）

XboX Emulator.exe （偽裝成XboX的模擬器）

PS2 Emulator.exe （偽裝成PS2的模擬器）

XP update.exe （偽裝成XP的升級程式）

XXX Video.exe （偽裝成視屏圖象程式）

Sick Joke.exe （偽裝笑話程式）

Free XXX Pictures.exe （偽裝色情圖片程式）

My naked sister.exe （偽裝色情程式）

Hallucinogenic Screensaver.exe （偽裝螢幕保護程式）

Cooking with Cannabis.exe

Magic Mushrooms Growing.exe

I-Worm_Give Cleaner.exe

用戶最能接觸的可能是以上的這些檔案和接收到的含有病毒的郵件。