病毒别名：

处理时间：2005-09-21

威胁级别：★

中文名称：

病毒类型：蠕虫

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是通过3.5英寸软盘和可移动磁盘进行传播的蠕虫病毒。该病毒运行时，首先将自己拷贝到多个目录，并添加启动项，使自己能随开机启动。该病毒如果发现有3.5英寸软盘或可移动磁盘，首先将3.5英寸软盘或可移动磁盘里面的doc文件名全部导出到c:\\ww.txt，然后拷贝ww.txt所列的文件到c:\\windows\\wj目录下，后缀名为.com。该病毒会将自身副本拷贝到3.5英寸软盘和可移动磁盘中，并取名为win32.exe或win33.exe，以达到传播的目的，该病毒使用word文档图标，诱使用户双击运行。

1，生成文件

c:\\windows\\doc.exe

c:\\windows\\doc1.exe

C:\\WINDOWS\\Start Menu\\Programs\\启动\\Microsoft Word.exe

C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\Microsoft Word.exe

2，添加注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"doc" = "c:\\windows\\doc.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

"CheckedValue" = 0

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\HideFileExt

"UncheckedValue" = 1

3，盗取文件方式

dir ?:\\*.doc /a/b/s >> c:\\ww.txt

拷贝ww.txt所列文件到c:\\windows\\wj\\*.com

4，复制到软盘或可移动磁盘的病毒名为

win32.exe

win33.exe