概述
病毒別名:Email-Worm.Win32.Buchon.e【AVP】
處理時間:
威脅級別:★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
特性
這是一個通過電子郵件傳播的蠕蟲病毒。該病毒會從某些特定檔案和註冊表項中收集郵件地址,並使用自己的SMTP引擎將病毒傳送給這些郵件接收者。這些郵件謊稱用戶的機器中了色情網站的惡意程式,誘騙用戶打開附屬檔案,從而導致用戶機器中毒。
1)釋放病毒檔案到C:\csrss.exe,生成另外一個檔案C:\csrss.bin,該檔案只有類似“2,4,0,0”這樣的數字。
2)在註冊表中為病毒的開機自啟動添加啟動項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Windowsupdate Service"="c:\csrss.exe"
3)通過多種途徑收集郵件地址:
從下列擴展名的檔案中收集郵件地址:
.asp.php.cgi.rtf.doc.htm.htm.txt.tbb.mdb.eml.mbx.wab.dbx
從名字含有“inbox”的檔案中收集郵件地址
在註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\下收集郵件地址
4)使用自己的SMTP引擎將病毒郵件傳送給這些郵件接收者:
郵件主題:Important! XXX sites found on your computer!
郵件正文:
Windows Evidence Checker has found XXX content on your computer.
You can hide your activities with Evidence Cleaner service.
To run Evidence Cleaner open the quick shortcut attached.
You must select 【Open it】 when security dialog will be displayed.
Warning! Your copy of Evidence Cleaner will be expired after 7 days.
Today you can register for FREE.
Please check attached instructions for more details.
