Worm.NimdaT.d.18848

核心提示：病毒名称(中文):尼姆达变种18848病毒别名:威胁级别:★☆☆☆☆病毒类型:蠕虫病毒病毒长度:18848影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是个感染型的蠕虫病毒，它会感染所有的.exe、.scr、.htm、.html格式文件，Worm.NimdaT.d.18848

病毒名称(中文): 尼姆达变种18848
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 蠕虫病毒
病毒长度: 18848
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是个感染型的蠕虫病毒。它会感染所有的.exe、.scr、.htm、.html格式文件，假如用户将含毒文件用邮件发送出去，病毒无需收信人主动打开即可自动执行。另外，此毒还会感染局域网中的其它正常电脑。

1.通过k32.dll基址获得导出API。

2.拷贝自身到C:\windows\system32\runouce.exe

3.写入注册表自启动HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：Runonce
键值："C:\WINDOWS\system32\runouce.exe"

4.查找最顶层的窗口句柄，对这个窗口进行注入，注入代码守护runouce.exe进程，发现没有就启动这个进程。

5.开启一个线程，这个线程守护注册表run键，一旦变化就更改回来。

6.扫描本地驱动器，跳过C:\windows目录。感染后缀名为exe文件和scr文件还有和htm和html文件。
对exe文件和scr文件直接写在原文件的尾部，假如没有空隙就自己添加空间，更改入口。

7.感染html文件,写入一个readme.eml的文件，
在html文件尾添加一段
window.open
("readme.eml",null,"resizable=no,top=6000,left=6000")
这是利用一个可以影响运行MicrosoftInternetExplorer5.01和5.5的漏洞。
此漏洞使得邮件附件无需用户主动打开即可自动执行。携带的病毒附件被标记为audio/x-wav类型。因此默认的音频文件播放器将被用于尝试打开该附件，附件保存在readme.eml文件中。

8.枚举网络资源，通过局域网的共享资源来传播自身。

9.执行netsend*mygod!someonekilledchinesehacker-2monitor进行局域网广播。