该病毒为一个电子邮件蠕虫病毒.该病毒通过向外发送大量的带毒电子邮件来传播自身,且邮件内容极具欺骗性,诱使用户打开带毒附件而感染病毒。

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：Win32病毒

影响系统：Win9x / WinNT

该病毒的邮件内容大概如下:(英文或德文)

First, Sorry for my very bad English!

Someone send your private mails on my email account!

I think its an Mail-Provider or SMTP error.

Normally, I delete such emails immediately,but in the mail-text is a name & adress.

I think its your name and adress.The sender of this mails is in the text file too.

附件为:随机

1.复制自身到系统目录下,文件名可能为以下之一:

sys

host

dir

expoler

win

run

log

32

disc

crypt

data

diag

spool

service

smss32

2.在注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下增加自启动项 键值为上面生成的文件名

3.创建以下文件:

%System%\\dgsfzipp.gmx

%System%\\read.me

%System%\\dgssxy.yoi

%System%\\sysmms32.lla

%System%\\cvqaikxt.apk

%System%\\Odin-Anon.Ger

%System%\\datamx.dam

%System%\onrunso.ber

4.从以下扩展名文件中获取Email地址

pmr

phtm

stm

slk

inbox

imb

csv

bak

imh

xhtml

imm

imh

cms

nws

vcf

ctl

dhtm

cgi

pp

ppt

msg

jsp

oft

vbs

uin

ldb

abc

pst

cfg

mdw

mbx

mdx

mda

adp

nab

fdb

vap

dsp

ade

sln

dsw

mde

frm

bas

adr

cls

ini

ldif

log

mdb

xml

wsh

tbb

abx

abd

adb

pl

rtf

mmf

doc

ods

nch

xls

nsf

txt

wab

eml

hlp

mht

nfo

php

asp

shtml

dbx

5.发送带毒邮件到上面找到的邮件地址中,但该病毒不会发送带毒邮件到包含以下字符串的邮箱内

ntp-

ntp@

ntp.

info@

test@

office

@www

@from.

support

smtp-

@smtp.

gold-certs

ftp.

.dial.

.ppp.

anyone

subscribe

announce

@gmetref

sql.

someone

nothing

you@

user@

reciver@

somebody

secure

me@

whatever@

whoever@

anywhere

yourname

mustermann@

.kundenserver.

mailer-daemon

variabel

password

noreply

- -dav

law2

.sul.t-

.qmail@

t-ipconnect

t-dialin

ipt.aol

time

postmas

service

freeav

@ca.

abuse

winrar

domain.

host.

viren

bitdefender

spybot

detection

ewido.

emsisoft

linux

google

@foo.

winzip

@example.

bellcore.

@arin

mozilla

@iana

@avp

icrosoft.

@sophos

@panda

@kaspers

free-av

antivir

virus

verizon.

@ikarus.

@nai.

@messagelab

nlpmail01.

clock

6.该带毒邮件的特征大概如下:

发件人:

假造

主题:

I've got YOUR email on my account!!

Ey du DOOF Nase, warum beantw...

正文:

One of the following:

Hello,

First, Sorry for my very bad English!

Someone send your private mails on my email account!

I think it's an Mail-Provider or SMTP error.

Normally, I delete such emails immediately, but in the mail-text is a

name & adress. I think it's your name and adress.

In the last 8 days i've got 7 mails in my mail-box, but the recipient

are you, not me. lol

OK, I've copied all email text in the Windows Text-Editor and i've

zipped the text file with WinZip.

The sender of this mails is in the text file, too.

bye

Warum beantwortest Du meine E-Mails nicht?

Kommen meine Mails nicht mehr bei dir an oder so???

Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!

Ich hoffe mal, das sie jetzt zu dir durch dringen wird.

In meinen anderen Mails habe ich einige Wichtige Dinge

niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.

Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit

Winzip kleiner gemacht.

Lesen und diesmal auch bescheid geben!!!!

tschau.....

附件:

扩展名可能为 .pif, .zip, .scr, .bat, 或 .com