蠕虫病毒Win32.Luder.C主要通过两种方式传播：邮件传播和文件感染。

在邮件传播方面，Win32.Luder.C会从Windows Address Book获取邮件地址，并利用注册表键HKCUSoftwareMicrosoftWABWAB4Wab File Name查找。它搜索Z:到C:驱动器上带有rar, scr, exe, htm, txt, hta扩展名的文件，然后在"htm", "txt", "hta"文件中寻找邮件地址。它通过DNS MX查询来定位邮件服务器，发送包含伪造发件地址（如Clarissa26@domain.com）和误导性主题（如URGENT NEWS!或GLOBAL NUCLEAR WAR JUST STARTED!）的邮件，附件通常为.exe或.exe相关文件。

在文件感染途径中，Win32.Luder.C遇到".exe"或".scr"扩展名的文件时，会复制自身为隐藏文件，文件名为.t，由8个小写字母组成。它会检查文件的PE头以确认空间和是否已感染，若满足条件，则在文件中插入代码。同时，它会避免重复感染同一文件，通过在PE头的时间戳中写入666作为标记。在RAR文件中，Luder.C会添加如"dnoCV18.exe"这样的，使得文档可能多次被感染。

总的来说，Win32.Luder.C通过多种策略利用邮件和文件系统进行传播，对用户的电脑系统构成威胁。

扩展资料

Win32/Luder.C是一种通过邮件传播的蠕虫，并寄存在PE 文件和RAR 文件中进行传播。另外，它还会生成一个特洛伊，用来下载并运行其它的恶意程序。它是大小为15,947 字节，以 UPX格式加壳的Win32可运行程序。