(瑞星编译)
病毒名称:Win32.Modnar.A@mm
大小:33K字节
Win32.Modnar.A@mm是一个工作在win32系统下的网络蠕虫,该蠕虫的可执行程序部分大小为33280字节,采用UPX
1.07格式进行压缩,病毒的真正大小为176K。
当蠕虫在执行时,会通过读取注册表中HKCU\Software\Microsoft\WAB\WAB4\Wab
File Name的值来检查windows地址簿WAB(windows address book),为了使用地址簿中的信息,蠕虫调用WAB
API动态连接库wab32.dll,之后蠕虫复制自身到其运行的目录中,并使用一个随机的文件名(8个小写字母,扩展名为.doc.pif),之后,蠕虫使用
MAPI将蠕虫副本发送出去,邮件的内容是随机产生的,下面是一个样本:
主题: oxdpmmyfc rsjwzcfsblrofotvsg!?
消息:
vxDuK
z
NSFv
Ev
hdm c
vp
CtI
e
NxC
WSE MeKzoM
jEgKVqNbXA
Z
xoxdpmmyfc rsjwzcfsblrofotvsg!?
附件: vanbvzyg.doc.pif
如果用户没有安装Outlook 或 Outlook Express,或者没有使用地址簿,病毒将无法发送。
您的位置: