[简要说明]
蠕虫W32.Malot.int的危害是乱发含有蠕虫自身的邮件,但它具有极大的欺骗性就是邮件的内容看上去象是由微软发出的病毒警告信,你也许会上当,运行了其实是蠕虫的附件;另外,与其他蠕虫不同的是该蠕虫不是向outlook地址簿中的所有人发送带毒邮件,而只是向在IE缓存中出现的包含在.htm
mailto:中的地址……
[病毒资料]
病毒名称:W32.Malot.int
发现日期:2001/7/10
大小: 12,288字节;
1,291字节
416 字节
触发日期:星期二
蠕虫通过邮件进行传播:
邮件内容如下:
主题:New Virus Alert !!
消息主体:This is a fix against I-Worm.Magistr.
Run the attached file (MSVA.EXE) to detect, repair and protect you against this
malicious worm
附件: MSVA.EXE
附件大小:12,288 字节
端口: 25
从邮件内容上看好象是微软发出的病毒警告,但事实上这是一个蠕虫。
蠕虫向系统中插入下面的文件:
\Windows\Runw32.exe
\Windows\System\Msva.exe
\Startup\VARegistered.htm
并向Win.ini文件中添加一行:
[windows]
run=%windir%\runw32.exe
蠕虫会将一小段脚本程序添加到\Windows目录中扩展名为.htm*的文件中,该脚本程序将导致下面的消息被显示:
This file is infected by my new virus
Written by PetiK (c)2001
HTML/W32.MaLoTeYa.Worm
蠕虫更改IE的起始页面为蠕虫作者的主页。
当蠕虫被执行时,如果它不存在于\Windows目录中,那么将做下面的工作:
将自身插入到系统中;
修改Win.ini文件;
创建VARegistered.htm文件;
显示一个消息框:
如果蠕虫文件存在于\Windows目录中,则在每次系统启动后都会执行下面的工作:
感染\Windows目录中的所有扩展名为.html 的文件;
将在 Win.ini中找到的关于国家的信息通过位于英国的邮件服务器发送给蠕虫作者。
在IE的缓存文件夹中搜索包含mailto: command的.htm*文件,mailto:
commands被用来向每个接收者发送包含蠕虫文件的邮件副本。
每周二,蠕虫将更改系统属性窗口的标题为PetiK always is with
you :-)
您的位置: