病毒别名：I-Worm.Desos.a[AVP]，W95.Stoogy.Worm@mm[NAV]

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过邮件传播的蠕虫病毒，会向被染机器上Windows地址簿及htm及html文件里的邮件地址发送带毒邮件。

1.病毒将自身拷贝至%SystemRoot%文件夹内，文件名从以下字母中选出连续的五个字母：

leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

扩展名为.exe，例如：Esmtp.exe或lasoP.exe。

2.在注册表的主键:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

中添加病毒文件的键值，使Windows重启动的时候，病毒自动运行。

3.接着，病毒会从下列字符串中选择6个连续字母：

KeutlipoeRidewantResentriolamjOwertexpionKirtyun

PEGALSOMANTIDENTUSENSATOAPLEUTOWKLEMICOSNLIGHDRTE

用选择的6个连续字母构成的字符串创建一个注册表子键，并加到注册表HKEY_LOCAL_MACHINE\\Software中，病毒再将两个键值添加至这个子键中，其中一个子键存储了一些内部信息。而所添加的键值名也是从上述字符串中选取6个连续字母构成。

比如：病毒会创建注册表键：

HKEY_LOCAL_MACHINE\\Software\\poeRid ，并添加两个键值：MANTIDE及OMANTID。

4.感染本地机器上的.exe及.scr文件。

5.病毒在被感染机器所有后缀为ht*的文件中搜索邮件地址，如htm及html文件，然后将搜索到的地址创建一个邮件地址列表，并将在Windows地址簿中找到的地址也添加至此列表中。

接着便发送带毒邮件，特征如下：