发信人: emil(稻草人)
整理人: emil(2002-07-10 11:03:49), 站内信件
|
W32.Higuy@mm
病毒名称:W32.Higuy@mm
别名: euro, HIGUY.A, I-Worm.Tettona, tattoo, W32/Higuy-A, W32/Higuy@MM, Win32.Frantes.A, WORM_HIGUY.A
危险等级:低
传播速度:快
传播范围:窄
发现时间:2002/06/14
长度: 34,761字节
发作时间:随机
感染症状:显示一个错误信息框,TCP 5001端口被打开
发作症状:大量发送带毒的电子邮件
病毒类型:电子邮件蠕虫
感染对象:无
传播途径:电子邮件
病毒介绍:
W32.Higuy@mm是一个通过向地址簿中的地址发送大量带毒电子邮件的邮件蠕虫病毒。
病毒发送的信件格式如下:
标题(以下其中之一):
Incredibile..
Incredible..
Urgente! (vedi allegato)
Qualsiasi cosa fai, falla al meglio.
内容(以下其中之一):
Hello,
see this interesting file.
Bye.
Ciao,
apri subito l'allegato,e' molto interessante.
A presto...
Ciao,
devi assolutamente vedere il file che ti ho allegato.
A presto...
Ciao,
okkio all'allegato ;-)
A presto...
附件(以下其中之一):
Euro.exe
Tattoo.exe
Tettona.exe
当运行病毒文件后就会显示下面的错误信息框:
接着将自身拷贝到%Windows%\Dllmgr32.exe,同时生成%Windows%\Dllmgr32.dat。注:%Windows%指的是Windows的安装目录,一般情况是\Windows或\Winnt。
同时修改注册表启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
DllManager=%WINDOWS%\dllmgr32.exe
这样,每次Windows系统启动的时候病毒就会自动启动。
病毒还会搜索被感染计算机中地址簿中的地址,并向这些地址发送带毒的电子邮件。
此外,该病毒还是个后门程序(Backdoor),当病毒激活后,TCP 5001端口就会被打开。
预防方法:
1、升级反病毒程序的病毒库;
2、通过修改电子邮件软件设置拒收上述的电子邮件,如果收到这类电子邮件请尽快将它删除。(该病毒不会在预览或查看电子邮件时自动运行)
清除方法:
1、升级反病毒程序的病毒库;
2、删除带毒的电子邮件;
3、重新启动计算机进入安全模式下,运行反病毒程序进行杀毒;
4、修复注册表,下载此修复文件,双击导入注册表即可。
*资料整理:聊毒斋 Emil
2002/06/22 第一次整理
*转载请注明出处,尊重作者的劳动!
---- 谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
网易(广州)社区病毒版
http://cnav.126.com
Email: [email protected]
QQ:201604 |
|