I-Worm/Wukill.i

I-Worm/Wukill.i

病毒長度：49,152 位元組

病毒類型：網路蠕蟲

危害等級：**

影響平台：Win9X/2000/XP/NT/Me

該病毒所傳送的帶毒郵件一般具有以下特徵：

主題: MS?DOS???? （?是中文的字元）

附屬檔案: MShelp.EXE

正文:一個中文的文本

該病毒會在本地硬碟的不同位置創建許多副本，在一定條件下，它可以通過軟碟以及共享網路來傳播自己。

1.複製自身為：

%Windir%\Mstray.exe

%Windir%\MShelp.EXE

同時圖示偽裝成是一個資料夾，而其實是一個執行檔。

2.監視活動視窗，當某個視窗被移動並被置為當前的視窗，那么該蠕蟲就會依靠瀏覽器標題欄的內容複製自身到新的位置。

例如：如果病毒檔案存在於C:\Windows目錄下並在運行，那么當用戶打開C:\Windows目錄時（此時標題欄也顯示為C:\Windows）蠕蟲將刪除原病毒體檔案，重新以一個不同的檔案名稱複製一個新的病毒檔案。

當用戶打開其即它的目錄時（此時病毒存在的路徑與當前視窗的標題欄的內容不同）該蠕蟲將把自身拷貝到該路徑下，這個新的病毒檔案具有隱藏屬性。

3.修改註冊表：

/在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加鍵值：

"RavTimeXP"= <蠕蟲病毒當前使用的檔案名稱>

"RavTimXP"= <蠕蟲病毒最後使用的檔案名稱>

/在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup下添加

"RavTimXP"

/設定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState下的"fullpath" = 0x1

/設定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下的鍵值為：

"HideFileExt" = 0x1

"Hidden" = 0x0