英文名称:Worm/Wurmark.b
中文名称:“恶码客”变种b
病毒类型:蠕虫
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Wurmark.b“恶码客”变种b是“恶码客”蠕虫家族中的最新成员之一,采用 “Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理
“恶码客”变种b运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“xtc.tmp”。
在相同目录下释放恶意程序“wini.exe”,同时还会在其中生成“cmd.com”、“taskkill.com”、“regedit.com”等文件(上述文件均为“系统、隐藏”属性),从而利用了系统在相同文件名的情况下优先运行“.com”格式文件的特性,实现了病毒组件的启动运行(因为用户在“开始”-“运行”中启动这些常用工具时,经常仅输入程序名而不输入“.exe”扩展名)。
另外,“恶码客”变种b还会在该目录下释放DLL组件“bszip.dll”、“ANSMTP.DLL”,从而使其具备了生成压缩文件及邮件传输的功能。“恶码客”变种b运行后,会将自身以“Sexy_02.scr”、“Just_For_You.pif”等具有诱惑力的名字命名并添加到“Attachement.zip”的压缩文件中。收集被感染计算机上存在的邮箱地址,以“sexythang@msn.com”作为发件人,向收集到的邮箱地址发送恶意邮件(其附件为包含蠕虫文件的压缩包),以此达到了通过邮件进行快速传播的目的,从而扩大了其传播及感染的面积。其所释放的恶意文件“wini.exe”会利用IRC协议(互联网中继聊天)与IRC服务器“67.208.*.12:8080”建立连接并进行命令交互,以此实现了远程控制的功能。
它可根据服务器发送的指令,执行下载恶意程序、窃取文件、对指定IP发动DDos攻击、日志记录、端口扫描、按键控制、向指定地址发送带毒邮件等恶意操作,从而对互联网的信息安全构成了严重的威胁。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成更多的侵害。
另外,“恶码客”变种b会通过在被感染系统注册表启动项中添加键值“xpstart”的方式来实现“wini.exe” 的开机自动运行