您的位置：主页 >>  病毒信息 >>  网络病毒专科

多重危害于一身：蠕虫Win32.Roach.B介绍

(瑞星编译)


病毒名称： Win32.Roach.B
大小： 28672 bytes
危险程度：中
病毒作者： Asmoedus/iKx

Win32.Roach.B是一个包含一些后门功能的网络蠕虫，通过微软的outlook进行传播。
当用户在outlook中打开邮件的同时，附件被自动执行。
染毒邮件样本如下：
=================================================
Received: from microsoft.com
Wed, 27 Jun 2001 07:42:22 -0400
Message-Id: <200106271142.f5RBgKB12354@mail.xxxxxxx.com>
From: Melissa@mail.xxxxxxx.com
Subject: Fw: Love Thy Neighbour - But d...
Date: Wed,27 Jun 2001 07:48:57 +0100
To:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="nymph"

=================================================
这是一个MIME格式的邮件，包含多个部分。
消息主体显示如下图：



邮件的日期是按照主机的系统时间设定的，主题也是随机的。

病毒运行时会拷贝自身到系统目录C:\Windows\System或C:\WinNT\System32，文件名为dccom32.exe。

修改注册表，以便每次系统启动后都自动运行该蠕虫：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\dcomdriver
with the value pointing to the installed copy.

同时被加入到系统目录中的还有一个文件EGGCASE.ATT，该文件是ZIP格式，其中包含一个名为COOKIE.EXE的病毒和一个FILE_ID.DIZ的文本，该文本解释程序的功能。

FortuneCookie 32 - Version 1.0
* FREEWARE *

DESCRIPTION:
============

FortuneCookie 32 is a Windows 32 version of the classical fortune cookies you can get at some restaurants. It's very simple double clicking on the cookie.exe file will bring up a fortune cookie. This program is freeware so feel free to send out a word of wisdom to your friends!


============

蠕虫使用一个公共的STMP服务器将自身发送给outlook地址簿中的用户，用户观察不到这封邮件是从哪里发送的。

该病毒具有连接到一个隐蔽的IRC服务器的能力，等待来自病毒作者或其他黑客的指令，这些指令可以命令病毒下载或运行一个指定的文件。这样，病毒的行为变得不可预测。
该病毒的作者是一个编写病毒小组的成员，该小组名为iKx。