病毒别名：Email-Worm.Win32.Buchon.e[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过电子邮件传播的蠕虫病毒。该病毒会从某些特定文件和注册表项中收集邮件地址，并使用自己的SMTP引擎将病毒发送给这些邮件接收者。这些邮件谎称用户的机器中了色情网站的恶意程序，诱骗用户打开附件，从而导致用户机器中毒。

1)释放病毒文件到C:\\csrss.exe，生成另外一个文件C:\\csrss.bin，该文件只有类似“2,4,0,0”这样的数字。

2)在注册表中为病毒的开机自启动添加启动项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"Windowsupdate Service"="c:\\csrss.exe"

3)通过多种途径收集邮件地址：

从下列扩展名的文件中收集邮件地址：

.asp

.php

.cgi

.rtf

.doc

.htm

.html

.txt

.tbb

.mdb

.eml

.mbx

.wab

.dbx

从名字含有“inbox”的文件中收集邮件地址

在注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Account Manager\\Accounts\\下收集邮件地址

4)使用自己的SMTP引擎将病毒邮件发送给这些邮件接收者：

邮件主题：Important! XXX sites found on your computer!

邮件正文：

Windows Evidence Checker has found XXX content on your computer.

You can hide your activities with Evidence Cleaner service.

To run Evidence Cleaner open the quick shortcut attached.

You must select [Open it] when security dialog will be displayed.

Warning! Your copy of Evidence Cleaner will be expired after 7 days.

Today you can register for FREE.

Please check attached instructions for more details.