I-Worm/Wukill.i

病毒长度：49,152 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Wukill.i用Visual Basic语言编写的蠕虫病毒，通过向Outlook地址薄中的所有联系人发送带毒邮件进行传播。该病毒所发送的带毒邮件一般具有以下特征：

主题: MS?DOS???? （?是中文的字符）

附件: MShelp.EXE

正文:一个中文的文本

该病毒会在本地硬盘的不同位置创建许多副本，在一定条件下，它可以通过软盘以及共享网络来传播自己。

传播过程及特征：

1.复制自身为：

%Windir%\\Mstray.exe

%Windir%\\MShelp.EXE

同时图标伪装成是一个文件夹，而其实是一个可执行文件。

2.监视活动窗口，当某个窗口被移动并被置为当前的窗口，那么该蠕虫就会依靠浏览器标题栏的内容复制自身到新的位置。

例如：如果病毒文件存在于C:\\Windows目录下并在运行，那么当用户打开C:\\Windows目录时（此时标题栏也显示为C:\\Windows）蠕虫将删除原病毒体文件，重新以一个不同的文件名复制一个新的病毒文件。

当用户打开其即它的目录时（此时病毒存在的路径与当前窗口的标题栏的内容不同）该蠕虫将把自身拷贝到该路径下，这个新的病毒文件具有隐藏属性。

3.修改注册表：

/在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加键值：

"RavTimeXP"= <蠕虫病毒当前使用的文件名>

"RavTimXP"= <蠕虫病毒最后使用的文件名>

/在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Setup下添加

"RavTimXP"

/设置HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState下的"fullpath" = 0x1

/设置HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced下的键值为：

"HideFileExt" = 0x1

"Hidden" = 0x0