|
本周提醒广大用户注意最新蠕虫Email-Worm.Win32.Eyeveg.i,该病毒主要通过邮件传播,病毒运行后复制原病毒文件到%system%文件夹下并释放一个名为fccmugvl.dll的相关文件。病毒还会记录用户的键盘输入,并搜集感染主机的敏感信息发个恶意者。 病毒还会尝试从网络上下载病毒相关文件到本地运行。
1、病毒运行后释放以下文件:
病毒文件
%system%\fccmugvl.dll
%system%\song.zip
%system%\<random>.exe |
对应病毒名
Email-Worm.Win32.Eyeveg.f
Email-Worm.Win32.Eyeveg.i
Email-Worm.Win32.Eyeveg.i |
2、修改注册表文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{84695FD5-A8A8-11D8-978E-005022E14DE2}\InprocServer32\@
键值: 字串: "C:\WINNT\System32\fccmugvl.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{84695FC8-A8A8-11D8-978E-005022E14DE2}\1.0\0\win32\@
键值: 字串: "C:\WINNT\System32\fccmugvl.dll"
添加的启动项值随机,如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\nvvojg
键值: 字串: "nvvojg.exe"
3、病毒运行后通过查找以下扩展名的文件来获取邮件地址,而后通过自带的SMTP引擎发送含有病毒附件的邮件:
dbx
tbb
eml
mbx
htm
asp
sht
4、当找到含有以下字符串的邮件地址时将不会发送:
admin
abuse
hostmaster
localdomain
localhost
messagelab
microsoft
noreplysymantecmcafee
postmaster
report
recipients
root
spam
trendmicro
webmaster
5、其中,病毒邮件的主题可能为:
details
image
girls
love
music
message
news
photo
pic
resume
readme
song
video
6、病毒邮件的附件为双扩展名,两扩展名之间有许多空格:
screensaver.scr< >.scr
song.wav< >.scr
music.mp3< >.scr
video.avi< >.scr
photo.jpg< >.scr
girls.jpg< >.scr
pic.jpg< >.scr
message.txt< >.scr
image.jpg< >.scr
news.doc< >.scr
details.doc< >.scr
resume.doc< >.scr
love.jpg< >.scr
readme.txt< >.scr
|
内容:
病毒上报信箱: