Worm.Buchon.f

這是一個通過電子郵件傳播的蠕蟲病毒。該病毒會從某些特定檔案和註冊表項中收集郵件地址,並使用自己的SMTP引擎將病毒傳送給這些郵件接收者。這些郵件偽裝成用戶傳送郵件失敗的返回郵件,提示說如果被退回的郵件沒有自動顯示,則要求用戶打開附屬檔案來查看郵件,並且該郵件還以反病毒軟體mcafee的名義說該郵件沒有病毒,因此用戶很可能受騙去打開附屬檔案而導致機器中毒。

病毒簡介

病毒別名:Email-Worm.Win32.Buchon.e【AVP】
處理時間:
威脅級別:★★
中文名稱
病毒類型:蠕蟲
影響系統:Win9x / WinNT

病毒行為

.1)釋放病毒檔案到C:\csrss.exe,生成另外一個檔案C:\csrss.bin,該檔案只有“2,4,0,0”這行數字。
2)在註冊表中為病毒的開機自啟動添加啟動項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Windowsupdate Service"="c:\csrss.exe"
3)通過多種途徑收集郵件地址:
從下列擴展名的檔案中收集郵件地址:
.asp.php.cgi.rtf.doc.htm.html.txt.tbb.mdb.eml.mbx.wab.dbx
從名字含有“inbox”的檔案中收集郵件地址
在註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\下收集郵件地址
4)使用自己的SMTP引擎將病毒郵件傳送給這些郵件接收者:
郵件主題:Mail Delivery failure - 【郵件地址】
郵件正文:
If the message will not displayed automatically,
you can check original in attached message.txt
Failed message also saved at:
www.【域名】/inbox/security/read.asp?sessionid-【4個隨機數字】(check attached instructions)
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
附屬檔案:
message txt 【空格】 mcafee.com

相關詞條

相關搜尋

熱門詞條

聯絡我們