I-Worm/Mydoom.h

病毒长度：44K

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Mydoom.h是群发邮件蠕虫，病毒体为附件。

传播过程及特征：

1.生成文件：

%System%\\svhost.exe --- 蠕虫副本

%Temp%\\Message --- 包含一些数据使用记事本程序打开

2.修改注册表：

/添加键值："SVHOST" = "%System%\\svhost.exe"

到注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

/删除注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

下的键值："TaskMon"

3.从下列类型的文件中搜索邮件地址：

.adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab

4.利用自带的SMTP引擎发送邮件，邮件特征：

发件人：伪造

主题：空白或下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件：下列之一

body

data

doc

document

file

message

readme

test

text

附件可能有一个或两个扩展名，如果有两个那么它的第一个扩展名为.htm\\.txt\\.doc之一,第二个扩展名或仅有一个扩展名时则从下列选一：

.pif

.scr

.exe

.cmd

.bat

.zip