dcsimg

病毒更新(r)-页面2

 By 吉姆·弗伦德
第2页,共3页  |  返回第1页

有效载荷
当然,单击附件(或在Outlook Express的“预览窗格”中打开附件)将启动可执行文件并感染计算机。显示伪造的“文件打开错误”消息,指出:“无法打开文件:它似乎不是有效的档案。如果您下载了此文件,请尝试再次下载该文件。“这旨在使用户相信该文件只是被破坏,而不是恶意的。

启动Updater时,它将自动复制并邮寄给Outlook通讯簿中的每个人;然后将其自身的副本保存在 视窗 要么 视窗 / SYSTEM32 目录,并创建一个注册表项:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Update = C:\ 视窗 \ Update.exe

另外,将Visual Basic脚本写入 C:\ 视窗 \ STARTM〜1 \ PROGRAMS \ STARTUP \ Update.vbs

如果尚未完全清除,前者会导致病毒在Windows重新启动时再次运行,而后者会在本地和映射的网络驱动器中搜索.DOC,.EXE和.TXT文件,并在其中保存其副本。它不会更改找到的文件,而是创建一个具有相同名称的新文件并附加.VBS。因此, 自述文件 变成 自述文件.

该脚本的内容如下:

   I-WORM.IMELDA.B
   (C)2001, by Iwing
   Virusindo - Indonesian Virus Network
   http://indovirus.8m.com , IRC Dalnet #indovirus
之后,在每个月的12日,都会出现一条消息,指出“嗨,您好……您被IWING的一些创作所感染...祝您有美好的一天。"

本文最初于2001年12月7日发布
通过网络更新新闻获取最新消息