Worm/DoomHunter

病毒长度：5,120

病毒类型：网络蠕虫

危害等级：*

影响平台：Win2000/XP

Worm/DoomHunter传播到所有感染了"挪威客"及其变种病毒的机器上。

传播过程及特征：

1.复制自身为：

%System%worm.exe

2.修改注册表：

/在注册表启动项下添加键值，以便随系统启动而运行。

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"Delete Me"="worm.exe"

/删除下列子键：

HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32

3.运行后出现内容不确定的信息提示框，但标题都为Mydoom removal worm(DDos the RIAA!!)

4.结束下列进程，并删除其在系统目录下的源文件：

SHIMGAPI.DLL

CTFMON.DLL

REGEDIT.EXE

TEEKIDS.EXE

MSBLAST.EXE

EXPLORER.EXE

TASKMON.EXE

INTRENAT.EXE

5.连接并监听TCP端口3127，连接成功后，蠕虫首先发送5个字节字符到远程机器，然后再发送蠕虫复本文件，并利用挪威客的后门组件执行。