病毒行为：
这是一个通过邮件传播的蠕虫病毒，该病毒会搜索被感染机器上的邮件地址并且把自己发送出去，会尝试下载该蠕虫的其他变种。

1.生成文件:
%WINNT%\svchost32.exe
%Temp%\document.elm .bat
%Temp%\file.dat .cmd
%Temp%\message.dat .exe
%Temp%\message.msg .scr
%Temp%\readme.dat .cmd
%Temp%\readme.txt .scr
%Temp%\test.msg .pif
%Temp%\text.dat .cmd
%Temp%\text.msg .exe

2.添加注册表项:
HKLC\System\ControlSet\Control\Session Manager
"PendingFileRenameOperations" = "svchost32.exe"


3.发送邮件,通过邮件附件把自己传播出去:
附件名为以下任意一个:
body
data
doc
docs
document
file
message
readme
test
text

第一个后缀名为以下任意一个,以迷惑用户:
.dat
.elm
.log
.msg
.txt

实际的后缀名为以下任意一个:
.bat
.cmd
.exe
.pif
.scr

邮件主题为以下任意一个:
Error
Good Day
Mail Delivery System
Mail Transaction Failed
Server Report
Status
hello
picture
test

邮件内容为以下任意一个:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sentas a binary attachment.
The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment

4.搜索被感染的机器上的以下文件,来获取邮件地址:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml


尝试连接下面的网址:

http://stra***nee.com/chr