病毒别名：I-Worm.Anap.a [AVP]

处理时间：

威胁级别：★★

中文名称：爱啦酷

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过电子邮件传播的蠕虫病毒。如果当前系统时间是5号，该病毒只弹出一个对话框就结束运行，并不从事破坏活动；如果当前系统时间不是5号，该病毒会在临时文件夹和“我的文档”里查找文件名中带“.ht”字眼的文件，并从中收集邮件地址，再将病毒做为附件发送到这些邮件接收者。该病毒以某些著名的IT厂商的名义发送主题为“补丁”的邮件，欺骗性很大，用户可能受骗而去运行该病毒程序，从而造成众多用户的机器感染该病毒。

1)如果系统时间是5号，该病毒会弹出一对话框：

标题为：“i-worm.Anaphylaxis coded by Bumblebee/29a”

内容为：“.This is an i-worm. Don't worry, this is not a virus. But may occur the

worm has been infected by a virus during its travel and both arrived to

your computer.

The way of the bee”

2)如果初始化WS2_32.DLL失败或者支持的端口最高版本号不是1.1就弹出一对话框并结束运行

标题：“Setup”

内容：“Integrity check failed due to:

bad data transmision or bad disk access.”

3)通过在注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folder中查询键值“Personal”得到“我 的文档”的路径，并在文件名带“.ht”的文件中查找“mailto:”来收集邮件地址

4)发信人由以下4部分组成：

姓名1：

Jhon

Mark

Bill

Frank

Sam

Eva

Carla

Joan

Jean

Sophie

姓名2：

M.

C.

T.

R.

姓名3：

Smith

Woodruf

Brown

Steel

Driver

Seldon

Forge

Stab

McAndrew

Gregor

发信人邮箱：

support@microsoft.com

support@netscape.com

support@pc.ibm.com

support@ibm.com

support@intel.com

[姓名1] [姓名2].[姓名3] <[发信人邮箱]>

例如：Jhon T.Driver

5)邮件主题：Patch

6)邮件正文：This is the patch you asked for.

7)邮件附件名称：SETUP.EXE

8)通过开启25端口来通信