病毒名称： Email-Worm.Win32.Ghost.X

病毒类型： 邮件蠕虫

危害等级： 中

文件长度： 61,440 字节

感染系统： windows 9x 以上版本

开发工具： Microsoft Visual Basic 5.0 / 6.0

病毒描述：

该病毒主要通过遍历 OUTLOOK的地址列表，获取email地址并发送病毒邮件，病毒运行后会打开病毒当前所在目录。 病毒运行后将会把自己复制到 "%WINDIR%\\FONTS"目录下。修改注册表键，将释放后的病毒属性设置为隐藏，添加启动项，从而达到随系统启动的目的。病毒运行后，会释放病毒体到系统盘根目录下"WINDOWS.EXE"、"GHOST.BAT"．

行为分析：

1 、 病毒第一次运行时将会把自己复制到 "%WINDIR%\\FONTS" 目录下，文件名为随机的数字和字母组合，文件扩展名为 COM 。

2 、 修改以下注册表键，

添加启动项，从而使 "%WINDIR%\\FONTS" 下的病毒随系统启动，该病毒文件名为 5 位随机字符

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

值： "TempCom"=< 随机数字和字符 >.com 。

用于隐藏病毒文件：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Advanced 值： "HideFileExt" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Advanced 值： "Hidden"

修改键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\CabinetStat 值 "fullpath" = "1"

3 、遍历 OUTLOOK 的地址列表，并发送病毒邮件。 主题： Document， 附件： Document.exe

4 、释放病毒体： "%WINDIR%\\FONTS" 目录下的病毒运行后，会释放病毒体 "WINDOWS.EXE" 、 "GHOST.BAT" 到系统盘根目录。 搜索系统盘根目录下的文件夹，并在文件夹中释放一个与该文件夹同名的文件，实为病毒复本。