computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: Redesi又生变种：蠕虫W32.Redesi.B@mm
发信站: 听涛站 (2001年11月01日12:39:17 星期四), 站内信件

病毒名称：W32.Redesi.B@mm
　　病毒大小：12,288 字节
　　蠕虫W32.Redesi.B@mm是W32.Redesi@mm的一个变种，它以转发邮件的形式散播，看
起来像是微软的安全更新。该蠕虫用VB6编写并以UPX格式进行压缩。
　　当蠕虫被执行时，它将完成下面的工作：
将自身复制到下列位置：
C:\Common.exe
C:\Rede.exe
C:\Si.exe
C:\UserConf.exe
C:\Disk.exe
然后，将这些文件的属性设置为隐藏。
出现下面的消息框：
接下来，蠕虫将自身发送给outlook地址簿中的所有人，邮件内容如下：
主题：
FW: Important news from Microsoft.
Just recieved this in my email
I have contacted Microsoft and they say it's real !
（微软发来的重要消息。我刚刚收到的邮件，已经与微软联系，他们确认是真的！）
-----Original Message-----（原始邮件内容）
From: Microsoft Support Desk
Sent: 17 October 2001 15:21
Subject: Security Update
Due to the recent spate of email spread computer viruses
Microsoft Corp has released a security patch.
Please apply the attached file to your Windows computer
to stop any futher spread or these malicious programs.
Regards
Microsoft Support
------------------------------------------
附件：（下列之一）
Common.exe
Rede.exe
Si.exe
UserConf.exe
Disk.exe
蠕虫添加下列注册键：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
以便蠕虫能够在系统重新启动后，自动运行。
　　如果蠕虫在2001年11月11日运行，它将向C:\Autoexec.bat文件中添加两条指令。第
一条指令是"echo"声明将显示一个与"Wicca" 有关的消息。第二条指令是格式化C盘。

--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]