I-Worm/Wukill.l用VB語言編寫的蠕蟲病毒,通過向Outlook地址薄中的所有聯繫人傳送帶毒郵件進行傳播。此外在本地硬碟的不同位置創建許多副本,在一定條件下通過軟碟和共享網路來傳播自己。
基本介紹
I-Worm/Wukill.l
影響平台:Win9X/2000/XP/NT/Me
此外在本地硬碟的不同位置創建許多副本,在一定條件下通過軟碟和共享網路來傳播自己。
傳播過程及特徵:
1.複製自身為:
%Windir%\Mstray.exe
%Windir%\MShelp.EXE
同時圖示偽裝成是一個資料夾,而其實是一個執行檔。
2.監視活動視窗,當某個視窗被移動並被置為當前的視窗,那么該蠕蟲就會依靠瀏覽器標題欄的內容複製自身到新的位置。
例如:如果病毒檔案存在於C:\Windows目錄下並在運行,那么當用戶打開C:\Windows目錄時(此時標題欄也顯示為C:\Windows)蠕蟲將刪除原病毒體檔案,重新以一個不同的檔案名稱複製一個新的病毒檔案。
當用戶打開其即它的目錄時(此時病毒存在的路徑與當前視窗的標題欄的內容不同)該蠕蟲將把自身拷貝到該路徑下,這個新的病毒檔案具有隱藏屬性。
3.修改註冊表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RavTimeXP"= <蠕蟲病毒當前使用的檔案名稱>
"RavTimXP"= <蠕蟲病毒最後使用的檔案名稱>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup]
"RavTimXP"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"fullpath" = 0x1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = 0x1
"Hidden" = 0x0
4.通過向Outlook地址薄中的所有聯繫人傳送帶毒郵件進行傳播。郵件特徵:
主題: MS?DOS???? (?是中文的字元)
附屬檔案: MShelp.EXE
正文:一個中文的文本
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。