Redesi又生变种：蠕虫W32.Redesi.B@mm

　　病毒名称：W32.Redesi.B@mm

　　病毒大小：12,288 字节

　　蠕虫W32.Redesi.B@mm是W32.Redesi@mm的一个变种，它以转发邮件的形式散播，看起来像是微软的安全更新。该蠕虫用VB6编写并以UPX格式进行压缩。

　　当蠕虫被执行时，它将完成下面的工作：

将自身复制到下列位置：

C:\Common.exe
C:\Rede.exe
C:\Si.exe
C:\UserConf.exe
C:\Disk.exe

然后，将这些文件的属性设置为隐藏。

出现下面的消息框：

接下来，蠕虫将自身发送给outlook地址簿中的所有人，邮件内容如下：

主题：

FW: Important news from Microsoft.
Just recieved this in my email
I have contacted Microsoft and they say it's real !
（微软发来的重要消息。我刚刚收到的邮件，已经与微软联系，他们确认是真的！）

-----Original Message-----（原始邮件内容）
From: Microsoft Support Desk
Sent: 17 October 2001 15:21
Subject: Security Update

Due to the recent spate of email spread computer viruses
Microsoft Corp has released a security patch.
Please apply the attached file to your Windows computer
to stop any futher spread or these malicious programs.
Regards
Microsoft Support
------------------------------------------

附件：（下列之一）

Common.exe
Rede.exe
Si.exe
UserConf.exe
Disk.exe

蠕虫添加下列注册键：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
以便蠕虫能够在系统重新启动后，自动运行。

　　如果蠕虫在2001年11月11日运行，它将向C:\Autoexec.bat文件中添加两条指令。第一条指令是"echo"声明将显示一个与"Wicca" 有关的消息。第二条指令是格式化C盘。