概述
I-Worm/Mimail.q
病毒長度:50,720、 32,768 bytes
病毒類型:網路蠕蟲危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Mimail.q試圖傳送自身到從系統里找到的郵件地址,郵件正文和主題都是變化的。此外還有可能會出現一個提示對話框讓你填寫,從而盜取你的e-gold賬號信息。此蠕蟲包含了一個多態變形檔案Sys32.exe和靜態檔案outlook.exe。
特點
病毒傳播過程及特徵:
1.在安裝目錄下生成Sys32.exe和Outlook.exe
2.將自身註冊為一個服務進程。
3.修改註冊表:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"system"="%Windir%\outlook.exe"鍵值
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer下添加Explorer = 1 ,Explorer2 = 1 ,Explorer3 = 1 ,Explorer4 = 1 ,Explorer5 = 1 鍵值
4.可能出現一個欺騙性質的錯誤提示對話框:
主題: Windows
正文: ERROR:Bad CRC32
5.顯示一個欺騙性質的系統截止通報,提示你輸入信用卡帳號和一些個人信息,這些信息存儲在C:\Mminfo2.txt和 C:\Mminfo.txt檔案里。
信息項目如下:
姓名;地址;電話號碼;郵件地址;信用卡號、截止日期、確認卡號;身份證號碼;社會保險號碼;生日;母親姓名;駕駛執照。
蠕蟲為達此目的生成四個檔案:C:\logo.jpg,C:\logobig.gif ,C:\Mshome.hta ,c:\Wind.gif
6.搜尋包含域名為e-gold.com信息的所有Cookies資料夾,如果成功則先將其臨時保存在C:\Tmpeg2.txt和C:\Tmpgld.txt下,然後傳送匿名郵件到域名為mail15.com的地址。
7.檢查本地機器TCP 連線埠 80、 1434 和1433 是否打開,並將其信息臨時保存在Serv.txt下,然後傳送匿名郵件到域名為mail15.com的地址。
8.在連線埠30000開後門,授予黑客遠程訪問其它計算機的權利。
9.搜尋下列資料夾里的檔案:
C:\
C:\Program Files\
Application Data
Desktop
Common Programs
Startup
註:擴展名為.com,.wav,.cab,.pdf,.rar,.zip,.tif,.psd,
.ocx,.vxd,.mp3,.mpg,.avi,.dll,.exe,.gif,.jpg,
.bmp的檔案除外!!
從中找到有效的郵件地址,並將這些信息保存在安裝目錄下的Outlook.cfg 里,然後傳送匿名郵件到域名為mail15.com的地址。
10.利用自帶的SMTP引擎傳送Sys32.exe到找到的郵件地址,此郵件主題,附屬檔案名字和正文都是變化的。
此外,該蠕蟲病毒代碼中還包含了一些文字,威脅說要對某ISP進行DoS攻擊,任何阻截該病毒把竊取到的信息傳送給病毒作者的ISP也將遭到DoS攻擊。