荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (回家的感觉真好), 信区: Virus
标 题: W97M/Comical@MM
发信站: 荔园晨风BBS站 (Wed Feb 6 10:19:28 2002), 站内信件
病毒名称:W97M/Comical@MM
发现日期:20002-02-01
最早出现地区:未知
长度:65,536字节(doc文件)6,656字节(exe文件)
病毒类型:宏病毒
别名:VBS/Comical@MM, W32/Comical@MM, W97M.Comical@mm (NAV),
Word97Macro/Comical.A (CA)
病毒简介:该病毒利用MAPI向Outlook地址簿中的所有邮箱发送带毒邮件,其
邮件信息为:
主题:A comical story for you
正文:I send you a comical story found on the Net.
Best Regards. You friend.
附件:comical_story.doc
当该受感染的文档文件一打开,它含有的宏就开始运行,然后病毒会创建一个
VBScript文件C:\Twin.vbs。此文件将Outlook地址簿中的邮件地址拷贝至C:
\backup.win文件中。同时,病毒还会在Windows目录下创建并运行一个可执行文件
"%WinDir%\AVW32.exe"。而刚则创建的VBScript文件会被删除。可执行文件则开始
向保存在C:\backup.win中的邮件地址发送带毒邮件。最后,它也会创建注册表运
行键以期系统启动时自动运行病毒:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\AntiVirus Freeware=C:\WINDOWS\AVW32.EXE。
.DOC文件会以NetInfo.Doc文件名保存在Windows目录下。当该Word文档被打开
时,会弹出如下窗口:
当Word的帮助菜单下的“关于“菜单选中时,会弹出如下助手窗口:
中毒迹象:
C:\backup.win及 %WinDir%\AVW32.exe在机器上出现
传染方式:
首先以Word文档的形式出现,若该文档被打开,即会运行带毒的宏,再借助
VBScript的函数创建并运行可执行文件。
--
────────→ ╭─────── ██ ██ ██ ██
██ ██ ██ █ ╭──────── ▉█ ▉█ ▉█ ▉█
▉█ ▉█ ▉█ █ ╰─ 新年快乐 ─╮ ▇█ ▉█ ▉█ ▇█
▇█ ▉█ ▉█ █ ────────╯ █▇ ██ ██ █▇
█▇ ██ ██ █ ───────╯ ←─────────
-──────────────────── X H J X ──
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 203.93.19.1]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店