Email-Worm.Win32.Dushit.a

病毒名称： Email-Worm.Win32.Dushit.a

病毒类型： 邮件蠕虫

危害等级： 中

文件长度： 585,728 字节

感染系统： Windows 9x 以上系统

开发工具： Visual C++ 6.0

病毒描述：

该病毒通过邮件进行传播 , 感染该病毒后会弹出标题为“ SYSCON.EXE ”的对话框 , 病毒复制自身，在 %system32% 下生成 SYSCON.EXE ，同时在 %system32% 下释放 5 个动态连接库文件。修改注册表，添加启动项目。释放文件 "Watcher.dll" 到 %SYSDIR% 目录下，并使用创建远程线程的方式使该动态连接库加入到 "WINLOGON.EXE" 进程中，并修改注册表加载 Watcher.dll 。通过挂载动态连接库实现发送邮件。

行为分析：

1 、 感染后弹出对话框“ SYSCON.EXE ”

内容为： "I''m sorry to trouble you, but It''s useless to say sorry. Happy April Fools'' Day:"

2 、修改注册表，添加启动项目

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

键值 "syscon"=" %SYSDIR%\\SYSCON.EXE"

3 、在 %system32% 下释放 Watcher.dl 文件， WINLOGON.EXE 挂载该文件，

该文件运行后会修改注册表使系统启动后自动加载该文件。注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

NT\\CurrentVersion\\Windows

键值 "AppInit_DLLs" ="%SYSDIR%\\WATCHER.DLL"

4 、在 %SYSDIR% 下释放另一个动态连接库文件，并将动态库挂接在 "Explorer.EXE"

进程中。

5 、通过挂接动态连接库文件实现邮件发送及病毒生成功能。

邮件标题可能为：

"hello" "funny:)" "hi" "good day:)" "hehe" "game" "smallGame"

邮件内容可能为：

": hehe" ": run it:)" ": it''s a joke" ": little game~~"

附件中为病毒文件，名称可能为：

"funny.exe" "joke.exe" "hello.exe" "love.exe" "interesting.exe"

"cat.exe" "dog.exe" "novel.exe" "new_jdk.exe"