病毒别名：WORM_WURMARK.J[趋势] Worm.Win32.Eyeveg.f[AVP]

处理时间：2005-05-11

威胁级别：★★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

该病毒通过电子邮件传播，邮件伪装成个含有图片、音乐、新闻或屏保的电子邮件，诱使用户运行，附件中的病毒。病毒信件，没有内容，只有主题和附件。病毒一旦运行后，会搜索用户本地计算机中的电子邮箱地址，并向这些邮箱地址发送病毒体。

1、病毒运行后，将生成以下文件：

%System%\\%随机文件名%.exe （病毒体，文件名字符均为大写，80384字节）

%System%\\%随机文件名%.dll（IESpy 间谍软件，1081字节）

%System%\\%随机文件名%.dll（病毒的键盘记录文件）

2、向注册表

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

添加如下键值：

%随机文件名% = "%随机文件名%.exe"

以保证病毒能随计算机一起运行。

3、尝试修改以下键值

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\

"StandardProfileEnableFirewall" = "dword:00000000"

以关闭微软自带的防火墙。

4、尝试链接以下网站

www.melan********l.biz/

5、从以下扩展名文件中，搜索电子信箱地址：

ASP

PHP

HTM

HTML

SHT

WAB

ADB

TBB

DBX

6、过滤含有以下字符的地址信箱地址

abuse

admin

hostmaster

localdomain

localhost

mcafee

messagelab

microsoft

noreply

postmaster

recipients

reports

root

spam

symantec

webmaster

7、读取注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Account Manager\\Accounts

以获得SMTP服务器

8、发送的邮件主题可能为以下之一：

details

girls

image

love

message

music

news

photo

pic

readme

resume

screensaver

song

video

9、邮件没有内容，只包含一个附件，附件名可能为以下之一：

details.zip

girls.zip

image.zip

love.zip

message.zip

music.zip

news.zip

photo.zip

pic.zip

readme.zip

resume.zip

screensaver.zip

song.zip

video.zip

以上这些文件也保存在本地的系统目录下

10、zip包内含有以下文件之一

details.doc .scr

girls.jpg .scr

image.jpg .scr

love.jpg .scr

message.txt .scr

music.mp3 .scr

news.doc .scr

photo.jpg .scr

pic.jpg .scr

readme.txt .scr

resume.doc .scr

screensaver .scr

song.wav .scr

video.avi .scr