病毒行為
1.病毒首次運行後,先釋放兩個病毒檔案到%SystemRoot%下: INETD.EXE(蠕蟲主體), HKK32.EXE(木馬部分,即Win32.Troj.KeylogHooker.21882)。然後木馬運行,將自身(HKK32.EXE)複製為%System%\KERN32.EXE,並且釋放用於記錄鍵盤的HKSDLL.DLL病毒(Win32.Troj.KeylogHooker.f.5632)和CP_23421.NLS(木馬用於存儲一些其所需內部信息的檔案),然後再將%SystemRoot%下的HKK32.EXE刪掉。釋放出來的木馬來獲取用戶信息,並將其傳送到下面的信箱中:
病毒註冊自己到系統啟動項,以便該病毒在每次重啟 Windows 時運行,具體如下:
在Win9x下:
修改WIN.INI檔案中[windows]節的"Run="項如下:
run=C:\WINDOWS\INETD.EXE
在WinNT下,
在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
中添加如下鍵值:
"kernel32"="kern32.exe"
在註冊表的主鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
中添加如下鍵值:
"run"="C:\WINDOWS\INETD.EXE"
此時病毒並不發作,而是顯示一個欺騙性的訊息框。
2.待計算機重啟後,
蠕蟲將自己註冊為一個服務,潛伏5分鐘後才開始發作,使用Windows的MAPI函式,訪問收件箱,向未閱讀狀態的
郵件地址傳送帶毒郵件。
主題:Re: prefix
附屬檔案即為
蠕蟲病毒副本,檔案名稱是下面列表中隨機的一個:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
正文:
病毒會在原郵件內容的開頭加上:
<原正確的發件人名字> wrote:
欺騙收到病毒郵件的人。
如果郵件是沒有正文的,那么病毒會在正文中加上:
Take a look to the attachment.
由於病毒自身bug有可能在傳送過程中出錯,但即使這樣,由於該
蠕蟲不斷的濫發郵件,仍然會造成企業的
郵件伺服器嚴重阻塞以至不能工作。