Worm.Novarg.a是一款病毒
基本介紹
- 中文名:Worm.Novarg.a
- 外文名:Worm.Novarg.a
- 處理時間:2004-01-27
- 病毒類型:蠕蟲
- 威脅級別::★
病毒介紹,其他信息,
病毒介紹
病毒別名:
影響系統:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行為:
編寫工具:
傳染條件: 運行病毒檔案
5、在如下後綴的檔案中搜尋電子郵件地址,但忽略以.edu結尾的郵件寒謎設地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
6、使用病毒自身的SMTP引擎傳送郵件,他選擇狀習判葛記態良好的腿邀伺服器傳送郵件,如果失敗,則使用本地的郵件伺服器傳送。
其他信息
7、郵件內容如下:
From: 可能是一個欺騙性的地址
主題:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附屬檔案名稱:
document
readme
doc
text
file
data
test
message
body
可能的後綴:
pif
scr
exe
cmd
bat
zip
發作條件:
2004年2月1延續到2004年2月12日紙祖碑組
系統修改:
a、創建如下檔案:
%System%shimgapi.dll
%temp%Message, 這個檔案由隨機字母辣催去通組成。
%System%taskmon.exe, 如果此檔案存在,則用病毒檔案覆蓋。
b、添加如下註冊表項:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
TaskMon = %System% askmon.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
TaskMon = %System% askmon.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
發作現象:
特別說明:
b、拷貝自己到KaZaA下載目錄下,偽裝成如下檔案,後綴可能為(pifscrat):
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
%System%taskmon.exe, 如果此檔案存在,則用病毒檔案覆蓋。
b、添加如下註冊表項:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
TaskMon = %System% askmon.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
TaskMon = %System% askmon.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
發作現象:
特別說明:
b、拷貝自己到KaZaA下載目錄下,偽裝成如下檔案,後綴可能為(pifscrat):
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
