I-Worm/Wukill.p

I-Worm/Wukill.p

病毒长度：48152 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Wukill.p是用VB编写的群发邮件蠕虫，通过向Outlook地址薄中的所有联系人发送带毒邮件来传播自己，还会在本地硬盘的不同位置创建许多副本，可能通过软盘以及共享网络来传播自己。

传播过程及特征：

1.复制自身，图标伪装成文件夹，而实质为可执行文件：

%Windir%\\Mstray.exe

%Windir%\\MShelp.EXE

2.监视活动窗口，当某个窗口被移动并被置为当前的窗口，那么该蠕虫就会依靠浏览器标题栏的内容复制自身到新的位置。

例如：如果病毒文件存在于C:\\Windows目录下并在运行，那么当用户打开C:\\Windows目录时（此时标题栏也显示为C:\\Windows）蠕虫将删除原病毒体文件，重新以一个不同的文件名复制一个新的病毒文件。

当用户打开其即它的目录时（此时病毒存在的路径与当前窗口的标题栏的内容不同）该蠕虫将把自身拷贝到该路径下，这个新的病毒文件具有隐藏属性。

3.修改注册表：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"RavTimeXP"= <蠕虫病毒当前使用的文件名>

"RavTimXP"= <蠕虫病毒最后使用的文件名>

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Setup]

"RavTimXP"

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState]

"fullpath" = 0x1

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced]

"HideFileExt" = 0x1

"Hidden" = 0x0

4.通过向Outlook地址薄中的所有联系人发送带毒邮件进行传播。邮件特征：

主题: MS?DOS???? （?是中文的字符）

附件: MShelp.EXE

正文:一个中文的文本