LJJ.EXE进程详细介绍
W32.Wullik.B@mm 是一个群发邮件蠕虫,它试图将自身发送到 Outlook 通讯簿中的所有联系人邮箱中。
此类电子邮件具有以下特征:
主题:MS?DOS????(? 表示中文字符。)
附件:MShelp.EXE
消息:<中文文本>
该蠕虫会在随机位置复制无数个自身的副本,并在 Windows 资源管理器浏览到它所运行的文件夹时移动到新的位置。在某些条件下,它可以扩散到软盘和共享网络驱动器上。
注意:W32.Wullik.B@mm 是使用 Visual Basic 编写的。2003 年 11 月 7 日之前的病毒定义会将其检测为 Bloodhound.W32.VBWORM。
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影响的系统: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x
病毒定义 (Intelligent Updater)*
2003.11.07
病毒定义 (LiveUpdate™) **
2003.11.12
*
Intelligent Updater 病毒定义会每天发布一次,并需要手动下载和安装。
**
LiveUpdate 病毒定义通常会在每周三发布。
损坏程度
有效载荷:
大量电子邮件发送: 将其自身通过电子邮件发送给 Outlook 通讯簿中的所有联系人。
分发
电子邮件主题: MS?DOS????(? 表示中文字符和 unicode。)
附件名称: MShelp.EXE
附件大小: 49152 bytes
共享驱动器: 可以将其自身复制到共享网络驱动器;文件名与目录名相匹配。
感染目标: 使用 Windows 资源管理器打开的文件夹。
W32.Wullik.B@mm 运行时会执行下列操作:
将其自身复制到以下位置:
%Windir%\Mstray.exe
%Windir%\MShelp.EXE
注意:该蠕虫使用以下图标将自己伪装为一个文件夹,而不是可执行文件:
注意:%Windir% 是一个变量。该蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。
监控活动窗口。当某个窗口切换为活动窗口时,该蠕虫会根据标题栏的内容创建自身的新副本。
如果标题栏匹配蠕虫的当前位置:
该蠕虫在随机位置创建自身的新副本并启动新副本,然后退出。随后,该蠕虫的新副本会删除旧副本。
例如,如果该蠕虫运行为 C:\Windows\Mstray.exe,当您使用 Windows 资源管理器浏览至 C:\Windows 时,标题栏为“C:\Windows”。则该蠕虫会将其自身复制为 C:\Windows\Temp\xyz.exe。随后,Xyz.exe 会删除 Mstray.exe。
如果标题栏是其他路径:
该蠕虫会将其自身复制为匹配该目录名的文件。该文件具有隐藏属性。
例如,如果使用 Windows 资源管理器浏览至 C:\Windows\Mydir,则该蠕虫会将其自身复制为 C:\Windows\Mydir\Mydir.exe。
注意:使用该功能可以跨网络共享进行扩散。
如果标题栏是其他内容:
该蠕虫会创建以下形式的文件:
***WINFILE.EXE:该蠕虫的另一个副本
***comment.htt:超文本模版文件,检测为 JS.Exception.Exploit。该文件可以启动具有此漏洞的系统中的 winfile.exe。
***desktop.ini
其中,*** 为标题栏的头三个字符。
将值:
"RavTimeXP"= <该蠕虫使用的当前文件名>
"RavTimXP"= <该蠕虫使用的上一个文件名>
添加到注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
这样,该蠕虫便可在 Windows 启动时运行。