安天CERT小组在20050203日截获到一MSN蠕虫,我们命名为IM-Worm.Win32.Webcam.a,该蠕虫在03日感染节点迅速增多,流行趋势极为明显。
我们已经进行了分析,并命名为IM-Worm.Win32.Webcam.a,下面是蠕虫基本特征:
一、基本特征:
名称:IM-Worm.Win32.Webcam.a
原始大小:188,928字节
压缩形式:PESpin
编写语言:Microsoft Visual Basic 6.0
该蠕虫运行后,会疯狂向MSN好友发送消息并将自身发送给MSN好友,传送时采用随即文件名,扩展名可能为.SCR/.EXE/.PIF等。
如下:
LMAO.pif
LOL.scr
naked_drunk.pif
二、行为分析:
1、蠕虫运行后,会将释放一个名为 CZ.EXE 文件到C盘跟跟目录,并将它拷贝到%system%下,名为:winhost.exe. 将文件属性设置为隐藏、只读、系统,同时将该文件创建时间改成同系统文件日期一样,进行欺骗迷惑。
同时蠕虫会在C盘跟目录随即生成一个文件,扩展名为.PIF/.EXE等,该文件用来向MSN好友传播。
同时在%system%下生成msnus.exe,该文件为蠕虫自身拷贝。
