Worm.Nyxem.c是一個偽裝成Windows Media Player來誘騙用戶運行的蠕蟲病毒。
基本介紹
- 中文名:黑蟲
- 外文名:Worm.Nyxem.c
- 影響系統:Win9x / WinNT
- 病毒類型 :蠕蟲
病毒別名,病毒行為,
病毒別名
I-Worm.Nyxem.c [AVP], Worm.Nyxem.d [RS]
病毒行為
這該病毒剛開始運行的時候跟正常的Windows Media Player沒有兩樣,用戶也察覺不到什麼異常,但它會偷偷地將多個病毒副本複製到系統目錄和Internet Explorer目錄下,並通過寫註冊表來實現病毒的開機自啟動。該病毒會通過MSN Messenger、雅虎通、Outlook Express等網路通信工具收集郵件地址,再將病毒作為郵件附屬檔案傳送出去。這可能會引起網路的嚴重堵塞並耗盡系統資源而導致當機,給用戶的工作和學習帶來了極大的不便。
1)病毒釋放的檔案:
%SystemDrive%\Program Files\Internet Explorer\Media Player.exe (病毒副本)
%systemRoot%\Task.exe (病毒副本)
%systemRoot%\VOLUME\NOTEPAD.EXE (病毒副本)
%System%\Connection.exe (病毒副本)
%System%\IsUninstm.exe (病毒副本)
%System%\movie009.pif (病毒副本)
%System%\movie_05.MP3_________________________________________________________.exe (病毒副本)
%System%\Old_Password.baT (病毒副本)
%System%\PaltlkRoom.wav_________________________________________________________.scr (病毒副本)
%System%\sound_223.mp3_________________________________________________________.scr (病毒副本)
%System%\The_Members.PIF (病毒副本)
%System%\Video_live.mpg_________________________________________________________.exe (病毒副本)
%System%\yahoo.PIF (病毒副本)
%system%\About_BlackWorm.C.txt
%System%\Life.jpg
%System%\OSSMTP.DLL
2)添加註冊表啟動項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"NOTEPAD.EXE"="%systemRoot%\VOLUME\NOTEPAD.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"@"="%systemRoot%\VOLUME\NOTEPAD.EXE"
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\CurrentVersion\Run
"NOTEPAD.EXE"="%systemRoot%\VOLUME\NOTEPAD.EXE"
3)%system%\About_BlackWorm.C.txt的內容:
my MS gay
i got a bill to pay
n i wonder wut to say
but ll i know is wut i know
billy bo! aint got no mo
shyt to do
from this day
GoOd ByE MicroGates
Made by MyLife
4)該病毒收集郵件地址的時候會跳過帶下列字元串的地址:
NORTON
SYMANTEC
EEYE
MCAFEE
ANTIVIRUS
AVP
5)帶毒郵件主題列表:
Ralph
Thomas
vip
Lola Ashton
Bad Love
Sweet Women
Sara GL
The Moon
Binnn MT
