I-Worm/Wozer.e

病毒长度：23,040 字节, 23,162 字节, 114 字节

病毒类型：网络蠕虫

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Wozer.e是用Delphi编写并经UPX压缩的网络蠕虫，通过网络共享和IRC进行传播，还将自身作为附件通过发送邮件进行传播。

传播过程及特征：

1.复制自身为：%System%\\Explore.exe

生成文件：%System%\\eCard.zip

2.修改注册表：

添加键值："Shell" = "Explorer.exe Explore.exe"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

3.复制自身到打开的网络共享：c$\\winupdate.exe；

修改c$\\autoexec.bat，使得系统启动时winupdate.exe运行。

4.一旦定位到mirc.exe文件，则在相同文件夹下生成script.ini，使得蠕虫可以通过mIRC进行传播。

5.从.htm， .wab，.eml， .ods， .mmf， .nch， .mxb， .tbb，

.cpp， .dpr， .frm， .bas， .doc， .rtf， .vbs， .txt，

.html， .asp类型的文件中收集邮件地址，并利用自带的SMTP引擎发送自身，邮件特征：

发件人：Superzone eCard

主题：Superzone eCard from Secret Admirer

附件：eCard.zip

注：由于eCard.zip文件被破坏，所以通过邮件传播并不成功。