病毒别名： 处理时间：2006-08-29 威胁级别：★

中文名称：神器祭坛 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个通过邮件传播的蠕虫病毒，该病毒会搜索被感染机器上的邮件地址并且把自己发送出去，会尝试下载该蠕虫的其他变种。

1.生成文件:

%WINNT%\\svchost32.exe

%Temp%\\document.elm .bat

%Temp%\\file.dat .cmd

%Temp%\\message.dat .exe

%Temp%\\message.msg .scr

%Temp%\\readme.dat .cmd

%Temp%\\readme.txt .scr

%Temp%\\test.msg .pif

%Temp%\\text.dat .cmd

%Temp%\\text.msg .exe

2.添加注册表项:

HKLC\\System\\ControlSet\\Control\\Session Manager

"PendingFileRenameOperations" = "svchost32.exe"

3.发送邮件,通过邮件附件把自己传播出去:

附件名为以下任意一个:

body

data

doc

docs

document

file

message

readme

test

text

第一个后缀名为以下任意一个,以迷惑用户:

.dat

.elm

.log

.msg

.txt

实际的后缀名为以下任意一个:

.bat

.cmd

.exe

.pif

.scr

邮件主题为以下任意一个:

Error

Good Day

Mail Delivery System

Mail Transaction Failed

Server Report

Status

hello

picture

test

邮件内容为以下任意一个:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sentas a binary attachment.

The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment

4.搜索被感染的机器上的以下文件,来获取邮件地址:

adb

asp

cfg

cgi

dbx

dhtm

eml

htm

html

jsp

mbx

mdx

mht

mmf

msg

nch

ods

oft

php

pl

sht

shtm

stm

tbb

txt

uin

wab

wsh

xls

xml

尝试连接下面的网址:

http://stra***nee.com/chr