基本介紹
- 外文名:Worm/Wallon
- 病毒類型::網路蠕蟲
- 危害等級::**
- 影響平台::Win9X/2000/XP/NT/Me/2003
I-Worm/Wallon
病毒長度:36,352 bytes, 150,528 bytes
傳播過程及特徵:
1.修改註冊表:
/生成下列子鍵,導致在IE工具列上添加了五個按鈕:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B5}
/如果鍵值:"Wh"="Yes"在註冊表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main下沒有發現則進行添加。
3.從特定的網站下載檔案並存儲到C:\Alpha.exe,檔案被執行後殘體常駐記憶體。
4.從Windows地址簿下收集郵件地址,並放棄包含下列字元串的地址:
microsoft
support
software
webmaster
postmaster
admin
利用自帶的SMTP引擎傳送自身到上述地址,郵件特徵:
發件人:從註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts下發現的郵件地址
5.周期性的執行一個定位到http://pixpox.com的cgi腳本檔案。
註:%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
