Email-Worm.Win32.Dushit.a
病毒名称: Email-Worm.Win32.Dushit.a
病毒类型: 邮件蠕虫
危害等级: 中
文件长度: 585,728 字节
感染系统: Windows 9x 以上系统
开发工具: Visual C++ 6.0
病毒描述:
该病毒通过邮件进行传播 , 感染该病毒后会弹出标题为“ SYSCON.EXE ”的对话框 , 病毒复制自身,在 %system32% 下生成 SYSCON.EXE ,同时在 %system32% 下释放 5 个动态连接库文件。修改注册表,添加启动项目。释放文件 "Watcher.dll" 到 %SYSDIR% 目录下,并使用创建远程线程的方式使该动态连接库加入到 "WINLOGON.EXE" 进程中,并修改注册表加载 Watcher.dll 。通过挂载动态连接库实现发送邮件。
行为分析:
1 、 感染后弹出对话框“ SYSCON.EXE ”
内容为: "I''m sorry to trouble you, but It''s useless to say sorry. Happy April Fools'' Day:"
2 、修改注册表,添加启动项目
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
键值 "syscon"=" %SYSDIR%\\SYSCON.EXE"
3 、在 %system32% 下释放 Watcher.dl 文件, WINLOGON.EXE 挂载该文件,
该文件运行后会修改注册表使系统启动后自动加载该文件。注册表项:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows
NT\\CurrentVersion\\Windows
键值 "AppInit_DLLs" ="%SYSDIR%\\WATCHER.DLL"
4 、在 %SYSDIR% 下释放另一个动态连接库文件,并将动态库挂接在 "Explorer.EXE"
进程中。
5 、通过挂接动态连接库文件实现邮件发送及病毒生成功能。
邮件标题可能为:
"hello" "funny:)" "hi" "good day:)" "hehe" "game" "smallGame"
邮件内容可能为:
": hehe" ": run it:)" ": it''s a joke" ": little game~~"
附件中为病毒文件,名称可能为:
"funny.exe" "joke.exe" "hello.exe" "love.exe" "interesting.exe"
"cat.exe" "dog.exe" "novel.exe" "new_jdk.exe"