其它名称

W32/Womble!ITW#1 (WildList), W32/Womble.A (F-Secure), WORM_WOMBLE.A (Trend), W32.Womble.A@mm (Symantec), Win32.Womble.B, W32/Womble@MM (McAfee), W32/Womble-B (Sophos), Email-Worm.Win32.Womble.a (Kaspersky)

病毒属性

蠕虫病毒

感染方式

Womble.B可能使用两种形式分布：

作为一个可运行程序，带有.pif 或 .exe 扩展名；

作为一个Windows Media 文件，攻击MS06-001漏洞。这个漏洞允许攻击者在易受攻击的机器上运行他们选择的代码，一般是Win32/Worfo病毒。这个文件可能带有 .jpg 或 .wmf 扩展名。

请到以下站点下载相关的微软漏洞补丁：

http://www.microsoft.com/china/technet/security/Bulletin/MS06-001.mspx

如果蠕虫作为一个Windows Media文件运行，在使用任意media显示之前攻击代码先运行，并引起浏览器程序损坏或者根本不能启动。攻击代码将蠕虫的可运行程序生成到%System%目录，并随后运行它。可运行程序使用以下任一文件名：

winlogin.exe

netupdate.exe

winupdate.exe

winlog.exe

如果不是从%System%目录运行蠕虫的可运行程序，它就会使用现有文件名复制到%System%目录。如果文件名使用.pif扩展名，蠕虫就会使用.exe扩展名替代它。

使用任何一种形式，蠕虫都会生成一个文件夹%AppData%\Microsoft\WinTools。

注：'%AppData%'是一个可变的路径。病毒通过查询操作系统来决定当前AppData文件夹的位置。 一般在以下路径C:\Documents and Settings\\Application Data，在XP系统上是C:\Documents and Settings\\Local Settings\Application Data。

病毒修改以下注册表，在现有内容中添加很多空格和它的完整路径：