病毒别名：处理时间：2006-08-29威胁级别：★
中文名称：神器祭坛病毒类型：蠕虫影响系统：win9x/me,win2000/nt,winxp,win2003
病毒行为:
这是一个通过邮件传播的蠕虫病毒，该病毒会搜索被感染机器上的邮件地址并且把自己发送出去，会尝试下载该蠕虫的其他变种。

1.生成文件:
%winnt%\svchost32.exe
%temp%\document.elm.bat
%temp%\file.dat.cmd
%temp%\message.dat.exe
%temp%\message.msg.scr
%temp%\readme.dat.cmd
%temp%\readme.txt.scr
%temp%\test.msg.pif
%temp%\text.dat.cmd
%temp%\text.msg.exe

2.添加注册表项:
hklc\system\controlset\control\sessionmanager
"pendingfilerenameoperations"="svchost32.exe"


3.发送邮件,通过邮件附件把自己传播出去:
附件名为以下任意一个:
body
data
doc
docs
document
file
message
readme
test
text

第一个后缀名为以下任意一个,以迷惑用户:
.dat
.elm
.log
.msg
.txt

实际的后缀名为以下任意一个:
.bat
.cmd
.exe
.pif
.scr

邮件主题为以下任意一个:
error
goodday
maildeliverysystem
mailtransactionfailed
serverreport
status
hello
picture
test

邮件内容为以下任意一个:
mailtransactionfailed.partialmessageisavailable.
themessagecontainsunicodecharactersandhasbeensentasabinaryattachment.
themessagecannotberepresentedin7-bitasciiencodingandhasbeensentasabinaryattachment

4.搜索被感染的机器上的以下文件,来获取邮件地址:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml


尝试连接下面的网址:

http://stra***nee.com/chr