I-Worm/Wukill.p

I-Worm/Wukill.p

影響平台：Win9X/2000/XP/NT/Me

傳播過程及特徵：

1.複製自身，圖示偽裝成資料夾，而實質為執行檔：

%Windir%\Mstray.exe

%Windir%\MShelp.EXE

2.監視活動視窗，當某個視窗被移動並被置為當前的視窗，那么該蠕蟲就會依靠瀏覽器標題欄的內容複製自身到新的位置。

例如：如果病毒檔案存在於C:\Windows目錄下並在運行，那么當用戶打開C:\Windows目錄時（此時標題欄也顯示為C:\Windows）蠕蟲將刪除原病毒體檔案，重新以一個不同的檔案名稱複製一個新的病毒檔案。

當用戶打開其即它的目錄時（此時病毒存在的路徑與當前視窗的標題欄的內容不同）該蠕蟲將把自身拷貝到該路徑下，這個新的病毒檔案具有隱藏屬性。

3.修改註冊表：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"RavTimeXP"= <蠕蟲病毒當前使用的檔案名稱>

"RavTimXP"= <蠕蟲病毒最後使用的檔案名稱>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup]

"RavTimXP"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]

"fullpath" = 0x1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"HideFileExt" = 0x1

"Hidden" = 0x0

4.通過向Outlook地址薄中的所有聯繫人傳送帶毒郵件進行傳播。郵件特徵：

主題: MS?DOS???? （?是中文的字元）

附屬檔案: MShelp.EXE

正文:一個中文的文本