基本介绍

病毒名称：蠕虫病毒Win32.Blackmal.G

其它名称：W32.Blackmal.E@mm (Symantec), W32/Mywife!ITW#10 (WildList), Win32/Mywife.L@mm (MS OneCare), W32/Nyxem-H (Sophos), Email-Worm.Win32.Nyxem.e (Kaspersky)

发展历程：从1988年莫里斯从实验室放出第一个蠕虫病毒以来，计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是1999年以来，高危蠕虫病毒的不断出现，使世界经济蒙受了轻则几十亿，重则几百亿美元的巨大损失。蠕早虫病毒专区主要就是为了告诉大家蠕虫病毒的特征、传播过程、以及如何防御来解析蠕虫病毒，让大家从根本上来了解蠕虫病毒……

病毒属性：蠕虫病毒 危害性：高危害 流行程度：中

具体介绍

感染方式

运行时Blackmal.G 复制Rundll16.exe 到%Windows% 目录，并运行这个文件。

蠕虫继续使用以下文件名复制到%System%目录：

Winzip.exe

Update.exe

scanregw.exe

并修改以下注册表，为了在每次系统启动时运行"scanregw.exe"：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ScanRegistry = "scanregw.exe /scan"

这个注册表键值能够重复生成。

蠕虫还会在%System%目录生成一个DLL文件"MSWINSCK.OCX" 。

之后运行Rundll16.exe，使被感染机器上的鼠标和键盘失效。当系统重启时，Blackmal.G 作为"scanregw.exe /scan"被运行，生成两个蠕虫的实例%Windows%\Winzip.exe 和 %Windows%\Update.exe。每个都会查找另一个文件和scanregw.exe的存在，任一文件被删除都会再次生成。

注：%System%和%Windows%都是可变路径，病毒通过查询操作系统来决定当前这些文件夹的位置。System在Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。Windows在Windows2000/NT中默认的安装路径是C:\Winnt，windows95/98/me中默认的安装路径是C:\Windows，windowsXP中默认的安装路径是C:\Windows。

蠕虫使用Winzip图标：