描述:该
病毒通过
邮件病毒使用Word的图标,并在
共享文件夹中生成自身拷贝。病毒创建
注册表项,使得自身能够在系统
启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的,附件为一个.pif文件。当
病毒运行时,会生成病毒文件、修改和删除
注册表项。
一旦执行,
病毒将首先在本地创建一个名为“SystemsMutex.”的
互斥量,保证只运行病毒的一个副本,复制自己为windows目录下的Winlogon.exe文件,然后修改
注册表实现自
启动。
病毒会删除
注册表启动项中的一些键值,包括“Taskmon”、“Explorer”、“Windows Services Host”、“KasperskyAV”(小邮差变种T的键值)等等。从二十多种文件中搜索Email地址,利用自带的SMTP引擎向搜到的Email地址发送带毒邮件,这些带毒邮件的大量传播会消耗网络资源,严重时造成网络不畅。
病毒会搜索除C盘之外的所有磁盘,搜索带有“shar”字符的文件夹,复制自己到这个文件夹和文件夹的所有子目录下。
病毒还会在Windows目录下创建
ZIP格式的文件,文件中带有病毒。