rar
scr
exe
htm
txt
ht
a 蠕蟲執(zhí)行DNS MX (mail exchanger)查詢�����,為每個域找到適合的郵件服務(wù)器來發(fā)送病毒��。它使用本地配置的默認(rèn)的DNS服務(wù)器來執(zhí)行這些查詢�����。
Luder.I嘗試發(fā)送郵件到它收集的每個郵件地址���。蠕蟲發(fā)送的郵件帶有以下特點(diǎn):
發(fā)件地址:
蠕蟲使用任意名稱(從蠕蟲自帶的一個列表中選擇)帶有一個任意數(shù)字�����,和接受目標(biāo)的域名結(jié)合��,生成一個偽造的收件地址��,例如:[email protected]��。
主題可能是:Happy New Year!
附件名稱:postcard.exe
通過文件感染-PE文件Luder.I每次發(fā)現(xiàn)一個帶有“exe” 或 “scr” 擴(kuò)展名的文件�,都使用《random name》.t文件名復(fù)制病毒到文件所在目錄,并設(shè)置為隱藏文件����。
注:《 random name》由8個小寫字母組成。例如:“vrstmkgk.t”�。
Luder.I檢查文件的PE頭,來查看是否有足夠的空間運(yùn)行��,并在中間插入一個代碼���。另外���,它不會感染已經(jīng)被感染的DLL或可執(zhí)行文件。如果被運(yùn) 行�����,它首先運(yùn)行相關(guān)的《random name》.t����。Luder.I在被感染文件的PE頭的timestamp中寫入666作為一個標(biāo)記���,避免再次感染同一文件��。
注: 生成的《random name》.t文件即使不滿足感染的所有條件�����,也不會被Luder.I修改�。
通過文件感染-RAR文件
Luder.I添加《random filename》.exe到每個發(fā)現(xiàn)的RAR文檔中,這里的《random filename》是7個字母與數(shù)字����,例如“dnoCV18.exe”。每當(dāng)Luder.I運(yùn)行時����,文檔可能被多次感染。
危害:
下載并運(yùn)行任意文件Luder.I生成一個文件用來下載其它惡意程序到被感染機(jī)器上���。下載的文件包括Win32/Sinteri��, Win32/Sinray�����, Win32/Sinhar 和Win32/Luder的其它變體���。
終止進(jìn)程
每隔4秒����,如果注冊表編輯器(regedit.exe)和名稱中包含以下字符串的其它進(jìn)程(顯示在Windows Title Bar中)正在運(yùn)行���,Luder.I就會嘗試終止注冊表編輯器和這些進(jìn)程:anti
小編推薦閱讀
