WINDOWS下的PE病毒(1)

1.“大无极”病毒(Worm.SoBig)
破坏方法：如果不是以start 参数启动病毒时，病毒将只是把自己复制到windows目录文件名为:winmgm32.exe(在注册表run项中加入WindowsMGM键)。之后病毒以start为参数启动该文件。

病毒以start 参数启动时，病毒建立一个"Worm.X"的互斥量，创建4个线程：

主线程：
    负责遍历硬盘上的txt,wab,dbx,htm,html,eml的文件从中提取email地址。
线程1：
    病毒将一些用户信息发送到指定的邮箱。
线程2：
    从一个指定的网站上下载一个文件并运行它,文件名为dwn.dat，2个小时重复一次。
线程3：
    负责利用主线程搜索出来的mail地址进行邮件传播。
线程4：
    遍历局域网，并尝试把自己复制到其它计算机的Windows\All Users\Start Menu\Programs\StartUp\及Documents and Settings\All Users\Start Menu\Programs\Startup目录。

mail：
    邮件体本身并没有利用OutLook漏洞，但随机调选病毒体内的字串做为标题发件人等。

可能出现的标题：
"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample"...
可能出现的附件名：
"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"...