Worm.Mydoom.i传染条件
发布网友
发布时间:13小时前
共1个回答
热心网友
时间:6小时前
Worm.Mydoom.i是一种病毒,它驻留在内存中,其行为与Worm.Mydoom.h有所区别,不包含后门和DDoS攻击功能,更接近于Worm.Mydoom.A。该病毒通过邮件传播,邮件主题、信体和附件文件名构成一个列表,病毒从中选取部分构建邮件内容。病毒使用虚假发件人地址,制造邮件似乎来自不同用户而非感染用户的效果,以增加欺骗性。
病毒的发作条件如下:
通过检查系统中的互斥体"SwebSipcSmtxS0,"来判断其存在。
在%Temp%目录下创建名为"Message"的文件,用随机内容填充并用记事本打开显示。
将自身复制到%System%目录的askmon.exe文件中。
在%System%目录下随机创建3个DLL文件。
在注册表中添加键值HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,设置"Taskmon"为"%System% askmon.exe",以获取自动运行权限。
如果用户使用了KaZaA,病毒会将自身复制到下载文件夹,使用随机名称如"icq2004-final"等,并附带随机扩展名。
在%System%目录下复制一个木马DLL文件,通过邮件将监听到的用户信息发送给攻击者。
病毒会从指定文件类型(如.adb, .asp等)中搜索邮件地址,然后通过smtp向这些地址发送邮件,邮件内容包含错误信息和病毒的附件。
病毒试图结束一些特定进程,如_AVP32.EXE、AVGCTRL.EXE等。
总之,Worm.Mydoom.i以邮件为载体,通过复杂的操作策略传播和隐藏自己,对系统的安全构成威胁。
