病毒名称：I-Worm.Tanatos.50688

　　病毒类型：蠕虫病毒

　　病毒长度：50688字节

　　危害级别：中

　　传播速度：高

　　技术特征：

　　这是一个通过感染电子邮件传播的蠕虫病毒。该病毒用VC++写成，运行后会开启一个后门程序，使用户的计算机可被远程监控。它具有如下特征：

　　 (1)复制自己到Windows系统目录并生成随机的文件名，然后在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce 里添加

　　键值，使自己可以在下次开机后自动运行。

　　(2)释放一个DLL文件到Windows系统目录并生成随机的文件名，用以监测键盘输入。

　　 (3)开启一个后门程序，打开36794端口监听被感染机器，可远程执行诸如发送接收文件，发送用户信息，执行指定文件，关闭程序等操作。

　　 (4)该蠕虫会开启用户机器上的HTTP服务，使得用户机器可被远程操作。

　　 (5)该蠕虫会遍历局域网并搜索其中是否包含可写的系统启动目录，如果有就复制自己到该目录。

　　 (6)在没有打补丁的机器上，该蠕虫会利用IFrame漏洞感染传播。

　　 (7)搜索后缀名为*.ODS, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX的文件中的Email地址，通过系统默认的SMTP服务器发送带有该蠕虫的邮件，并随机选择用户机器

　　中的文件做为邮件内容，随机生成附件名。邮件主题可能是下列中的一个：

　　Greets!

　　Get 8 FREE issues - no risk!

　　Hi!

　　Your News Alert

　　$150 FREE Bonus!

　　Re:

　　Your Gift

　　New bonus in your cash account

　　Tools For Your Online Business

　　Daily Email Reminder

　　News

　　free shipping!

　　its easy

　　Warning!

　　SCAM alert!!!

　　Sponsors needed

　　new reading

　　CALL FOR INFORMATION!

　　25 merchants and rising

　　Cows

　　My eBay ads

　　empty account

　　Market Update Report

　　click on this!

　　fantastic

　　wow!

　　bad news

　　Lost & Found

　　New Contests

　　Today Only

　　Get a FREE gift!

　　Membership Confirmation

　　Report

　　Please Help...

　　Stats

　　I need help about script!!!

　　Interesting...

　　Introduction

　　various

　　Announcement

　　history screen

　　Correction of errors

　　Just a reminder

　　Payment notices

　　hmm..

　　update

　　Hello!

　　(8)蠕虫会搜索下面的程序并试图关闭它们：

　　ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE

　　VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE

　　VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXETBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXESERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXESCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXERAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXEPAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE[未结束]