● W32/Hunch@MM - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (好好爱你，永远！), 信区: Virus
标题: W32/Hunch@MM
发信站: 荔园晨风BBS站 (Fri Feb 1 10:06:19 2002), 站内信件

　　病毒名称：W32/Hunch@MM
　　发现日期：2002-01-28
　　最早出现地区：未知
　　长度：151,552字节
　　病毒类型：蠕虫病毒
　　危险级别：低
　　
　　病毒特征：
　　该邮件蠕虫病毒会向微软Outlook地址簿中的所有地址发送带毒邮件，且将自
身拷贝至软盘上、删除本地系统上的文件。它所发送的邮件信息如下：
　　主题：通常是可执行文件的文件名（变化不定）
　　正文：Mensaje importante para （接收者的姓名） en el archivo
adjunto...
　　附件：可感染的可执行文件（变化不定）.exe
　　附件运行后，即会感染系统，并弹出包含一图片的如下窗口：
　　

　　病毒会在Windows 系统目录下生成THWIN.EXE 及 MSWORD.EXE两个文件，且两
个注册表键添加至注册表中，以在系统启动时病毒自动运行：
　　· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
　　Run\THWIN=C:\WINDOWS\SYSTEM\THWIN.EXE
　　· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
　　RunServices\THWIN=C:\WINDOWS\SYSTEM\THWIN.EXE
　　另外，它还会删除Windows目录下的五个文件以及其子目录下带有如下扩展名
的文件：
　　· BAK
　　· BMP
　　· CDX
　　· CHM
　　· DBF
　　· DOC
　　· DWG
　　· GIF
　　· HLP
　　· HTM
　　· ICO
　　· JPG
　　· MDB
　　· MID
　　· MP3
　　· SCR
　　· TTF
　　· WAV
　　· XLS
　　此病毒还会周期性地将自身副本保存至A:\目录下，并以该软盘上现有的文件
命名，假如A:\目录下有一个A:\temp.dll文件，则病毒就会以其为命，变成A:
\temp.dll.EXE。原文件的属性设置成隐藏。病毒也有可能以A:\UNSCH.doc.EXE存
在。
　　同时，它还会以如下指令覆盖自动批处理文件AUTOEXEC.BAT：
　　@echo off
　　DEL > FORMAT C: /u /v:UNSCH /autotest
　　病毒所执行的每个过程都记入在Windows系统目录下的两个文件中：
　　· ListWin.txt (记录被病毒删除的最后五个文件的日志文件)
　　· WinList.txt （记录病毒用来拷贝自身至A盘的所有文件名的日志文件）

　　
　　中毒迹象：
　　在系统的windows 系统目录下会生成如下文件：
　　·　THWIN.EXE
　　·　MSWORD.EXE
　　·　ListWin.txt
　　·　WinList.txt
　　
　　传染方式：
　　病毒被执行后，会向Outlook中的所有地址发送并拷贝至A盘中，Windows及其
子目录下的文件会被删除。

--
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂寻寻觅觅♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀蓦然回首♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂那人却在♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂灯火阑珊处♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店