該病毒通過電子郵件傳播,郵件偽裝成個含有圖片、音樂、新聞或屏保的電子郵件,誘使用戶運行,附屬檔案中的病毒。病毒信件,沒有內容,只有主題和附屬檔案。病毒一旦運行後,會搜尋用戶本地計算機中的電子信箱地址,並向這些信箱地址傳送病毒體。
基本介紹
- 外文名:Worm.Wurmark.j
- 處理時間:2005-05-11
- 威脅級別:★★★
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
病毒名稱,病毒行為,
病毒名稱
病毒別名:WORM_WURMARK.J[趨勢] Worm.Win32.Eyeveg.f[AVP]
中文名稱:
病毒行為
1、病毒運行後,將生成以下檔案:
%System%\%隨機檔案名稱%.exe (病毒體,檔案名稱字元均為大寫,80384位元組)
%System%\%隨機檔案名稱%.dll(IESpy 間諜軟體,1081位元組)
%System%\%隨機檔案名稱%.dll(病毒的鍵盤記錄檔案)
2、向註冊表
添加如下鍵值:
%隨機檔案名稱% = "%隨機檔案名稱%.exe"
以保證病毒能隨計算機一起運行。
3、嘗試修改以下鍵值
4、嘗試連結以下網站
5、從以下擴展名檔案中,搜尋電子信箱地址:
ASP
PHP
HTM
HTML
SHT
WAB
ADB
TBB
DBX
6、過濾含有以下字元的地址信箱地址
abuse
admin
hostmaster
localdomain
localhost
mcafee
messagelab
microsoft
noreply
postmaster
recipients
reports
root
spam
symantec
webmaster
7、讀取註冊表
以獲得SMTP伺服器
8、傳送的郵件主題可能為以下之一:
details
girls
image
love
message
music
news
photo
pic
readme
resume
screensaver
song
video
9、郵件沒有內容,只包含一個附屬檔案,附屬檔案名可能為以下之一:
details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip
以上這些檔案也保存在本地的系統目錄下
10、zip包內含有以下檔案之一
details.doc .scr
girls.jpg .scr
image.jpg .scr
love.jpg .scr
message.txt .scr
music.mp3 .scr
news.doc .scr
photo.jpg .scr
pic.jpg .scr
readme.txt .scr
resume.doc .scr
screensaver .scr
song.wav .scr
video.avi .scr
