Worm.Hunch.a

病毒名称(中文):

病毒别名:

I-Worm.Hunch.a[AVP]，W32.Hunch@mm[NAV]

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

151552

影响系统:

Win9xWinNT

病毒行为:

该邮件蠕虫病毒会向微软Outlook地址簿中的所有地址发送带毒邮件，且将自身拷贝至软盘上、删除本地系统上的文件。它所发送的邮件信息如下：

主题：通常是可执行文件的文件名（变化不定）

正文：Mensajeimportantepara（接收者的姓名）enelarchivoadjunto……

附件：可感染的可执行文件（变化不定）.exe

附件运行后会感染系统，并弹出包含一图片的窗口。

1.在%System%目录下会生成如下文件：

THWIN.EXE

MSWORD.EXE

ListWin.txt

WinList.txt

病毒所执行的每个过程都记入上述的两个文件中：

ListWin.txt(记录被病毒删除的最后五个文件的日志文件)

WinList.txt（记录病毒用来拷贝自身至A盘的所有文件名的日志文件）

2.病毒会将上述生成THWIN.EXE及MSWORD.EXE两个病毒文件，添加到注册表中，以在系统启动时病毒自动运行：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"THWIN"="C:\WINDOWS\SYSTEM\THWIN.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

"THWIN"="C:\WINDOWS\SYSTEM\THWIN.EXE"

3.会删除Windows目录下的五个文件以及其子目录下带有如下扩展名的文件：

BAK，BMP，CDX，CHM，DBF，DOC，DWG，GIF，HLP，HTM，ICO，JPG，

MDB，MID，MP3，SCR，TTF，WAV，XLS

4.此病毒还会周期性地将自身副本保存至A:\目录下，并以该软盘上现有的文件命名。

例：假如A:\目录下有一个emp.dll文件，则病毒就会以其为命，变成A:\emp.dll.EXE。原文件的属性设置成隐藏。病毒也有可能以A:\UNSCH.doc.EXE的名称存在。

5.它还会以如下指令覆盖自动批处理文件AUTOEXEC.BAT：

@echooff

DEL>FORMATC:/u/v:UNSCH/autotest