病毒名称：W32.Maldal.J

　　发现日期：2002-04-03

　　病毒类型：特洛伊木马、蠕虫

　　感染长度：24064、11264字节

　　危害级别：低

　　病毒简介：

　　这是一个邮件蠕虫病毒，同时也会把用户的击键情况记入日志文件。此病毒运行后，首先会在被感染机器上的Outlook地址簿、MSN Messenger联系人列表以及html文件中寻找邮件地址，找到后就会向这些地址发送带毒邮件。在病毒邮件体内，有一个指向FixerData.exe文件的Html链接。点击之后，该文件会从某个指定的站点下载并执行Data.exe文件。此文件就是病毒的邮件发送组件。

　　病毒危害：

　　1.发送大量带毒邮件：会向Outlook地址簿、MSN Messenger及Html文件中的邮件地址发送大量带毒邮件；

　　2.修改文件：在被感染机器上会用一个文本文件来覆盖自身；

　　3.泄露机密信息：会将Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码发送给病毒作者；

　　4.威胁安全设置：会把用户的击键情况记入日志文件，然后发送给病毒作者；

　　技术特征：

　　病毒运行后，会出现如下情况；

　　首先弹出对话框：

　　

　　并将自身拷贝至%Windows%System目录下，且用一个文本文件覆盖原始文件。该文本文件包含有此病毒的完全路径及文件名称。然后它会追踪打开的窗口并将击键记录存储在%Windows%system<病毒文件名>.txt文件当中。

　　比如，若原始的病毒文件名为C:TempTest.exe，它就会相应的生成C:%Windows%SystemTest.exe文件，并且用一个含有字符串"C:TempTest.exe"的文本文件覆盖掉C:TempTest.exe ，而记录击键情况的日志文件便是C:%Windows%SystemTest.txt。

　　注意：%Windows% 是不定的，病毒首先搜索此文件夹（默认的是C:Windows或 C:Winnt），并将自身拷贝到该文件夹下。随后，该文本文件被发送给病毒作者。

　　接着，病毒会在Outlook地址簿、MSN Messenger联系人列表以及html文件中寻找邮件地址，找到后就会向这些地址发送带毒邮件。其邮件内容可能如下：

　　I‘ve got this surprise for you ;)

　　I know what you need at this **** time.

　　<Link to Downloader Executable>

　　Have fun and don‘t forget :P YOU KNOW

　　WHAT I MEAN !

　　bye

　　或

　　Dear User,

　　McAfee.com has recieved an alert from you.

　　We believe that you are infected with W32/ZaCker.Trojan@MM. This High Risk virus allows hackers to control your PC.

　　To clean and protect your PC from the virus :

　　<Link to Downloader Executable>

　　For more information about the virus :

　　<Link to blank writeup on Mcafee.com>

　　Sincerely,

　　McAfee.com

　　Copyright

　　2002 McAfee.com Corporation / All Rights Reserved.

　　此外，它还会将键值

　　<病毒文件名> %Windows%system<worm file name>.exe

　　添加至如下注册表键中：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

　　这样每次启动Windows时病毒会自动运行。

　　同时，也会将如下键值

　　Day <Current day of the month>

　　Start 5

　　Path <path to worm>

　　Mail 5

　　加至注册表：

　　HKEY_LOCAL_MACHINESoftware