发信人: emil(稻草人)
整理人: emil(2002-03-16 01:39:53), 站内信件
|
I-Worm.Japanize
病毒名称:I-Worm.Japanize
别名: FIDAO, FIDAO.A, FIDAO.A, I-Worm.Zircon.B, I-Worm.Zircon.c, JAPANIZE.A, W32.Dotjaypee@mm, W32.Impo.gen@mm, W32.Impo@mm, W32/FBound-C, W32/FBound.C@mm, W32/Fbound.b@MM, Worm.Japanize.12288, WORM_FBOUND.B, WORM_FIDAO, WORM_JAPANIZE.A, Win32.Fbound.C, Win32/Japanize.Worm, 日本化
危险等级:低
传播速度:快
传播范围:中
发现时间:2002/03/14
长度: 12,288字节
发作时间:病毒激活后
感染症状:无
发作症状:不断发送带毒(patch.exe)电子邮件
病毒类型:电子邮件蠕虫
操作平台:Windows 32位操作平台
感染对象:无
传播途径:电子邮件
病毒介绍:
I-Worm.Japanize是一个电子邮件蠕虫病毒,通过向Windows地址簿中发送大量的大量的带毒电子邮件进行传播,不过该病毒除了发送电子邮件外,不会造成其他的破坏。病毒发送的带毒电子邮件一般带有名为patch.exe的附件,最初发送带毒电子邮件的邮件地址是日本的(均以.jp结尾),邮件的标题通常是Important或者是一些日文。
带毒的邮件格式如下:
发送邮件地址一般是日本的地址(以.jp结尾);
邮件标题:通常是Important或者是以下的一些日文:
邮件内容:空
邮件附件:patch.exe
当病毒激活后就根据以下注册表信息寻找Windows地址簿中的邮件地址(WAB):
HKEY_CURRENT_USER\Software\Microsoft\WAB\
WAB4Wab File Name = “<WAB文件路径>”
当病毒找到邮件地址后就会根据以下注册表信息所记录的SMTP服务器信息或者使用病毒本身的SMTP引擎发送带毒的电子邮件:
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\(默认帐号ID)\SMTP Server
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\(默认帐号ID)\SMTP Email Address
*注:默认帐号ID一般是一些数字,如00000001。
不过病毒并不生成任何文件、不感染文件,也不修改注册表,不具有其他的破坏力,仅仅是发送电子邮件。
病毒体中含有以下一段文字:
‘XXXXXXXXXXXXXXXXXXXXXXX’
‘XXXXX I-Worm.Japanize XXXXX’
‘XXXXXXXXXXXXXXXXXXXXXXX’
预防方法:
1、升级反病毒软件;
2、不要随便打开邮件的附件,并将可疑的带有patch.exe附件的电子邮件删除。
清除方法:
重新启动计算机进入安全模式,将带毒的电子邮件删除即可。
*资料整理:聊毒斋 Emil
2002/03/14 第一次整理
*转载请注明出处,尊重作者的劳动!
---- 谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
网易(广州)社区病毒版
http://cnav.myrice.com or http://cnav.533.net
Email: [email protected]
QQ:201604 |
|