I-Worm/Wukill.l

病毒长度：49,152 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Wukill.l用VB语言编写的蠕虫病毒，通过向Outlook地址薄中的所有联系人发送带毒邮件进行传播。此外在本地硬盘的不同位置创建许多副本，在一定条件下通过软盘和共享网络来传播自己。

传播过程及特征：

1.复制自身为：

%Windir%\\Mstray.exe

%Windir%\\MShelp.EXE

同时图标伪装成是一个文件夹，而其实是一个可执行文件。

2.监视活动窗口，当某个窗口被移动并被置为当前的窗口，那么该蠕虫就会依靠浏览器标题栏的内容复制自身到新的位置。

例如：如果病毒文件存在于C:\\Windows目录下并在运行，那么当用户打开C:\\Windows目录时（此时标题栏也显示为C:\\Windows）蠕虫将删除原病毒体文件，重新以一个不同的文件名复制一个新的病毒文件。

当用户打开其即它的目录时（此时病毒存在的路径与当前窗口的标题栏的内容不同）该蠕虫将把自身拷贝到该路径下，这个新的病毒文件具有隐藏属性。

3.修改注册表：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"RavTimeXP"= <蠕虫病毒当前使用的文件名>

"RavTimXP"= <蠕虫病毒最后使用的文件名>

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Setup]

"RavTimXP"

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState]

"fullpath" = 0x1

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced]

"HideFileExt" = 0x1

"Hidden" = 0x0

4.通过向Outlook地址薄中的所有联系人发送带毒邮件进行传播。邮件特征：

主题: MS?DOS???? （?是中文的字符）

附件: MShelp.EXE

正文:一个中文的文本

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。