新浪科技讯 美国网络联盟公司旗下的McAfee AVERT(反病毒紧急响应小组)近期发现一种复杂的蠕虫病毒W32/Bugbear.b@MM ,并将其定为高度风险等级。该病毒通过多种方式来传播,该病毒有72,192个字节。
病毒特征
1.大量的邮件群发(Mass-mailer)
2.通过网络共享进行传播(Network Share Propagator)
3.键盘记录(Keylogger)
4.远程木马(Remote Access Trojan)
5.多形态寄生文件感染(Polymorphic Parasitic File Infector)
6.中止部分安全软件(Security Software Terminator)
大规模邮件传播
该蠕虫病毒自发到本地系统所发现的邮件地址。它可以进入“收件人”和“发件人”区域。因此,发件人地址被骗或伪造,而非感染用户的直接表示。Internet帐户管理器缺省的SMTP服务器被用来发送信息:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager。
病毒代码包含邮件主题字符串和附件文件。然而,该病毒的原始变种使用未在当前病毒里出现的信息。文件名可能从在注册表里出现的个人文件夹里获取:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders\Personal
通常,附件文件名包含两个扩展名(比如ie.doc.pif)。外出的邮件利用了没有安装补丁程序Microsoft IE5.01和IE5.5的安全漏洞(Incorrent MIME Header Can Cause IE to Execute E-mail Attachment vulnerability(MS01-020),利用这个特征,安装了McAfee网关防病毒产品(特征代码升级到4213DATs以上)可以检测到这个病毒,并且认为它是Exploit_MIME.gen或Exploit-MIME.gen.exe。
病毒安装
该蠕虫病毒使用下列随机文件复制自己到START UP文件夹里:
Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE
2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE
网络共享传播
该蠕虫病毒试图把自己复制到网络上其它机器的Startup文件夹里。
键盘记录
该蠕虫病毒安装了一个用来捕获击键的DLL文件。DLL的名字是随机的,.DLL前包含7个字符并存放于SYSTEM (%SysDir%)目录中。另外两个文件使用同样的文件名也存在这里。较短的随机.dat文件存放于WINDOWS (%WinDir%)目录。
远程木马
该蠕虫病毒能监听TCP 1080端口,这将允许攻击者获得系统访问的权限。
寄生文件感染
该蠕虫病毒试图感染指定的可执行文件,它重新从注册表里找回程序文件目录路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir
中止安全软件的运行
病毒会中止下面安全软件的运行:
ACKWIN32.exe
DVP95_0.exe
ECENGINE.exe
FINDVIRU.exe
ICLOADNT.exe
N32SCANW.exe
NAVAPW32.exe
NAVLU32.exe
NAVNT.exe
NAVW32.exe
NAVWNT.exe
NVC95.exe
PCFWALLICON.exe
SPHINX.exe
SWEEP95.exe
TBSCAN.exe
VSECOMR.exe
WFINDV32.exe
ZONEALARM.exe
症状
奇怪的EXE文件出现在STARTUP文件夹中
系统监听TCP Port 1080
清除方法
利用下列DAT文件来清除该病毒:
EXTRA.DAT–必须放于有CLEAN.DAT、NAMES.DAT、和SCAN.DAT的同一目录中(比如,C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx)
或者
复制本页网址和标题,发送给你QQ/Msn的好友一起分享 制作和管理个人站点的三点建议 变种蠕虫Bugbear.B卷土重来 近千台电脑受害
精品推荐