Worm.Mimail.o.enc

2008-02-23 09:29:03来源：互联网阅读 ()

病毒名称: Worm.Mimail.o.enc 类别：蠕虫病毒病毒资料：破坏方法：

这是Worm.MiMail的新变种,采用LCC编写。

该病毒运行后首先将自己复制到Windows目录下,路径为：

％WINDIR％\WINMGR32.EXE

它将创建下列注册表键值来使自己随Windows系统自启动:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WinMgr32"="％WINDIR％\WINMGR32.EXE"

病毒也将修改IE的默认页为：

http://***www.anvari.org/db/fun/World_Trade_Center
/Bush_Monkey.jpg

病毒一旦运行，将释放两个文件到c:\下，文件名为：

index.hta
index.hta
index2.hta

病毒运行这两个文件，伪装为PAYPAL.COM的信用卡业务，盗取用户的信用卡信息，保存在一个文件：TMPNY3.TXT中，随后病毒将会使用自己构造的mail发送到指定的邮箱。

该病毒之后建立多个线程用来：

搜索Email地址：

病毒从C:\Program Files\和c:\目录中的所有文件里找email地址。

并把这些地址记录到一个文件：tmpeml.txt;

发送邮件<传播>：

病毒按搜出来的email地址进行邮件传播，内容可能为不健康文本或某些网站的链接，附件是病毒体; 阻塞一些网站<攻击>
病毒带有后门功能，打开并监听TCP端口5555，等待远程连接
病毒能够接收远程数据来自动更新。

注:

％WINDIR％是可变的，是WINDOWS的安装目录(默认为： C:\Windows or C:\Winnt).
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-1-8

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有