概要
病毒別名:Bloodhound.W32.VBWORM W32/Wukill.worm 【McAfee】 W32.Wullik.B@mm 【Symantec】 I-Worm.Rays 【AVP】處理時間:
威脅級別:★★★
中文名稱:射線
病毒類型:蠕蟲
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行為:
編寫工具:VB6.0
傳染條件:通過網路傳送郵件,及區域網路共享高速傳播
發作條件:
系統修改:
A、拷貝其本身至系統安裝目錄:
%SystemRoot%Mstray.exe
%SystemRoot%MShelp.EXE
並且,該病毒用"資料夾"的圖片來偽裝成資料夾,誘騙用戶誤點擊。
B、該病毒會監視活動視窗,如果某個視窗移到了最前,該病毒就會根據視窗主題的內容來創建一個它的拷貝,並保存在新的位置;然後,它會運行這個新的拷貝,退出並刪除舊的拷貝。
C、在註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"RavTimeXP"= <該蠕蟲當前使用的檔案名稱>
"RavTimXP"= <該蠕蟲最後使用的檔案名稱>
在註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSetup
下添加如下鍵值:
"RavTimXP"
修改註冊表主鍵:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCabinetState
下的鍵值為:
"fullpath" = 0x1
修改註冊表主鍵:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
下的鍵值為:
"HideFileExt" = 0x1
"Hidden" = 0x0
發作現象:
A、向Outlook地址簿中的Email傳送包含其本身的郵件,郵件具有如下特點:
主題:MS?DOS????(問號代表中文字元)
附屬檔案:MShelp.EXE
正文:<中文字元>
