| 词条 | “怪物”病毒 |
| 释义 | § 现象 在国庆长假期间,一种恶性蠕虫病毒在中国首次登陆。此病毒危害性比较大,也非常“聪明”,它能够杀防病毒软件、偷取用户机密信息并向外界发送、利用局域网和邮件传播、攻击打印机……,瑞星公司率先查杀了这种病毒,并把它命名为“怪物”病毒。 瑞星公司已经于截获病毒的当天进行了紧急升级,瑞星用户只需将软件升级到15.03及以上的版本可以自动截获并清除此病毒,而对于局域网用户,只有安装了瑞星等厂家提供的网络版反病毒软件,才可以彻底根治这个病毒。 § 详细 杀反病毒软件并偷取用户机密信息的“怪物”病毒 -------------------------------------------------------------------------------- 杀防病毒软件、偷取用户机密信息并向外界发送、利用局域网和邮件传播、攻击打印机……2002年10月2日,一种恶性蠕虫病毒在中国首次登陆。瑞星公司率先查杀了这种病毒,并把它命名为“怪物”病毒。 病毒名称:Worm.Bugbear-A 病毒类型:蠕虫病毒 感染对象:网络/邮件 病毒长度:50688字节 警惕程度:★★★★★ 病毒介绍: 这个“怪物”病毒的危害性比较大,也非常“聪明”。主要破坏性表现为:监控电脑用户的键盘动作,并截获用户的登录名和密码;修改注册表,电脑用户开机时病毒被自动启动;会自动搜索并杀掉它知道的反病毒软件的进程;向外界病毒客户端发送被感染用户的机密信息,如用户名和密码等等;并且,“怪物”病毒会攻击打印机,只要它找到打印机或者网络打印机,就会随机打印二进制代码。 同时,“怪物”病毒具有极强的传播能力。它会利用局域网进行传播,只要是能找到的资源,都会被“怪物”感染,这些被感染的机器只要一启动,病毒就会随之启动。 经瑞星反病毒专家分析,此病毒有以下特性: 一、 复制自身,释放“钩子” 病毒运行时,会将自身复制到system目录下,文件名为随机的4个字母,扩展名为.EXE(如:yyyy.EXE),并释放出一个动态链接库文件,大小为 5632字节,文件名为随机的6个字母,扩展名为.DLL(如:zzzzzz.DLL),这个DLL是一个钩子函数,用来监控键盘动作,以截获用户的登录名及密码。 二、 修改注册表,开机自启动 病毒通过查注册表得到系统的“开始菜单”→“程序”→“启动”的路径。并复制自己到该目录下,文件名为随机的3个字母,扩展名为.EXE。并在注册表的"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce"中加入自身,保证系统重启时被自动执行。 三、 启动4个线程,进行全面传播 病毒运行后会启动4个线程: 1. 线程1启动后,会每隔30秒进行一次“进程遍历”工作,寻找病毒已知的反病毒软件的进程,发现后会将之杀掉,使杀毒软件全面失效。以下是病毒可以杀掉的反病毒软件的进程(106个进程): ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXE TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE RAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXE PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE LOCKDOWN2000.EXE JEDI.EXE IOMON98.EXE IFACE.EXE ICSUPPNT.EXE ICSUPP95.EXE ICMON.EXE ICLOADNT.EXE ICLOAD95.EXE IBMAVSP.EXE IBMASN.EXE IAMSERV.EXE IAMAPP.EXE FRW.EXE FPROT.EXE FP-WIN.EXE FINDVIRU.EXE F-STOPW.EXE F-PROT95.EXE F-PROT.EXE F-AGNT95.EXE ESPWATCH.EXE ESAFE.EXE ECENGINE.EXE DVP95_0.EXE DVP95.EXE CLEANER3.EXE CLEANER.EXE CLAW95CF.EXE CLAW95.EXE CFINET32.EXE CFINET.EXE CFIAUDIT.EXE CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE AVWUPD32.EXE AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE AVPTC32.EXE AVPM.EXE AVPDOS32.EXE AVPCC.EXE AVP32.EXE AVP.EXE AVNT.EXE AVKSERV.EXE AVGCTRL.EXE AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE APVXDWIN.EXE ANTI-TROJAN.EXE ACKWIN32.EXE _AVPM.EXE _AVPCC.EXE _AVP32.EXE 2. 线程2启动后会进行局域网传染,遍历所有的网络资源,找到后病毒会把自己复制到\\\\<机器名>\\$C\\Documents and Settings\\<用户名>\\「开始」菜单\\程序\\启动\\siq.exe文件中,如果局域网中被感染的计算机重启的话,病毒便会被激活。 3. 线程3启动后会搜索硬盘上的地址簿文件,根据其中地址向外发送一封利用了MIME和IFRAME漏洞的病毒邮件(这种漏洞邮件不需要双击运行,只要预览该邮件,病毒就会运行),进行Internet传播。病毒邮件没有正文,邮件的标题是下列字符串中的任意一种: Hello! update Payment notices Just a reminder Correction of errors history screen Announcement various Introduction Interesting... I need help about script!!! Please Help... Report Membership Confirmation Get a FREE gift! Today Only New Contests Lost & Found bad news fantastic click on this! Market Update Report empty account My eBay ads 25 merchants and rising CALL FOR INFORMATION! new reading Sponsors needed SCAM alert!!! Warning! its easy free shipping! Daily Email Reminder Tools For Your Online Business New bonus in your cash account Your Gift 0 FREE Bonus! Your News Alert Get 8 FREE issues - no risk! Greets! 邮件的附件是被染毒机器上的某个文件名,一般含有如下字符串: Readme Setup Card Docs News Image Images Pics Resume Photo Video Music Song Data 附件的文件名是双扩展名,最后一个扩展名是 EXE、SCR 或 PIF,在一般的计算机中,文件的扩展名是隐藏的,这样通常用户只能看到一个扩展名。 4. 线程4启动时,会打开计算机的36794端口,并通过SMTP服务向外界病毒客户端程序发送用户的一些机密信息,如用户名、用户密码等。 四、 攻击打印机,扰乱正常打印 病毒如果检测到有打印机或者网络打印机的存在,会将病毒体的二进制代码随机取出进行打印,大量浪费墨水和纸张。 每日数万封邮件遭感染 “Bugbear”病毒挥之不去 -------------------------------------------------------------------------------- 电子病虫熊熊虫(Bugbear)上周末仍高居病毒榜榜首,虽然防毒专家认为危险高峰期已过,但迹象显示这只病虫短期内仍挥之不去。 代管世界各地电子邮件主机的英国电子邮件服务商Messagelabs说,该公司上周五拦截了66,000封遭熊熊虫感染的电子邮件信息,到周六降到35,000封,周日继续减为34,000封。 Messagelabs资深防毒技术人员Alex Shipp 7日说:“今天到目前为止,似乎出来作乱的熊熊虫比上周减少,但我们尚未让使用者提高警觉。病毒肆虐程度仍相当高。今天全天阻挡的病虫数可能高达数万只。” Shipp说,大多数使用者除非得知染毒,否则似乎没有升级病毒软件的习惯。这种行为模式打从Klez病毒为害以来即有,春季以来,Klez病毒的各种变形持续在Messagelabs的病毒警戒榜名列前茅,直到熊熊虫经媒体披露而广为人知,许多Klez受害者才终于下载新软件终结那只旧病虫,然而不少人对熊熊虫仍无招架之力。 他指出,熊熊虫在被感染计算机上的发病症状不多,即使计算机已遭攻击,使用者甚至可能还不知要做预防措施。 熊熊虫的术语称为“W32.Bugbear”或“I-Worm.Tanatos”。专家相信,此虫是早期病虫“Badtrans”的改良版本。这只病虫内含后门,让黑客藉此掌控计算机、解除各种防毒功能和任何既有的个人防火墙,进而安装一种记录键盘按键使用情况的程序,记下使用者输入的任何登入密码。病虫会在计算机中搜寻电子邮件住址,然后透过自己内含的电子邮件引擎传发染毒的信息。这只病虫只传染Widnows计算机。 防毒专家一直担心会有第二波攻击,因为黑客可能利用熊熊虫在成千上万部计算机已经安装的后门为害。但目前为止,看来这种风险比原先想象来得低。 “若要利用后门,黑客必须了解其运作的方式。”Shipp说。“光凭键入随机的指令,难以得知个中玄机。所以利用后门的能力或许只限于这只病毒的作者。不过,假如他在全球信息网上把后门机关的细节公诸于世,可能就另当别论。” Shipp指出,别的黑客有可能以逆向工程方式摸索出后门的头绪,但那颇花时间。Messagelabs已安装了“honeypots”,也就是伪装成经熊熊虫感染的个人计算机,但目前为止尚未侦测出任何黑客上网搜索已遭熊熊虫开了后门的可下手对象。 “Bugbear”病毒(又名怪物)现身一周 蔓延速度已放缓 -------------------------------------------------------------------------------- 据研究人员周一表示,一支名为“Bugbear”的电脑蠕虫在以较今年威力最大的“Klez”蠕虫快两倍速度迅速在互联网扩散之后,蔓延速度已开始放缓。这支蠕虫可在电脑上打开后门并且侧录使用者以键盘打入的资料。 据电脑病毒研究工程师舒姆格说,“Bugbear”在一周以前现身,其扩散速度在上周四达到颠峰后,周一似乎有放缓之势。 舒姆格说,“我们仍处于高风险和高警戒状态。”但他表示,风险程度可能在周二或周三降至中等。 舒姆格指出,“Bugbear”蠕虫利用微软IE浏览器的已知漏洞散播,而且电脑使用者只要阅读邮件,甚至不必开启邮件中的附件,就可以使电脑受感染。 他说,这支蠕虫也可透过其他电子邮件软件散播,但不会以上述方式自动启动。 除了透过电子邮件以外,这支蠕虫也会透过电脑网路共享的功能蔓延。 舒姆格说,“Bugbear”会试图删除防毒软件,并且在受感染的系统开启一道后门,供攻击者窃取资料、删除档案和干其他坏事。 他说,“这支木马程序可以上传或下载档案、执行档案、以及删除执行中的应用程序。此外,它也可以攫取键盘的输入纪录。” “怪物(Bugbear)”病毒急速传播 几十个国家受感染 -------------------------------------------------------------------------------- 纽约10月6日消息,专家称一个称作“怪物(Bugbear)”的由电子邮件运载的电脑病毒,继续在传播并且是今年进行着最严重攻击的病毒。该病毒能够让黑客操纵受到感染的电脑。 称作W32.Bugbear或I-Worm.Tanatos的这个蠕虫感染运行微软视窗操作系统的电脑。它于一周前被发现并且已经在数十个国家传播。一旦电脑被感染,黑客能够从这台电脑上窃取和删除数据信息。承载该病毒的电子邮件的标题可能是:“坏消息”、“成员资格确认”、“市场更新报告”和“你的礼物”。 该蠕虫通过运行微软视窗操作系统电脑中的电子邮件地址簿进行复制,并且能够使自己成为电子邮件的附件。它能够通过网络系统进行传播,在互联网上让黑客截取密码并且接入到受感染的电脑。据Symantec Corp.称,这个病毒还企图绕过反病毒程序和防火墙。该公司已经在它的网站上发布了一个可供下载使用的防范补丁,还将该“怪物(Bugbear)”定性为是一个严重的威胁。 芬兰赫尔辛基市F-Secure Corp.的反病毒研究经理Mikko Hypponen在给美联社的电子邮件中说,“怪物”目前对全球电脑安全产生了最严重的威胁。F-Secure Corp.在它的网站上也发布了一个修补这一问题的软件补丁。Hypponen说,预计该蠕虫的传播会持续到明年,因为许多消费者将不会意识到他们的电脑受到感染。 微软去年曾发布一个该问题的补丁“安全公告MS01-027”,但许多用户目前并没有在他们的电脑上安装上这个补丁。 “Bugbear”病毒堪称今年最厉害的病毒 -------------------------------------------------------------------------------- 10月4日消息,Bugbear(熊熊虫)电子邮件病毒正继续在全球引起灾难。据杀毒软件公司称,“熊熊虫”可能是今年到目前为止最厉害的病毒,它向那些以为来自恶意程序的威胁已经消失了的人们发出了及时的警告。 这种病毒能够破坏计算机中的安全处理和口令,使计算机容易遭到黑客的攻击,关闭计算机中的杀毒程序并且发布保密的电子邮件。 Sophos杀毒公司高级技术顾问Graham Cluley说,这个病毒要像是今年最厉害的病毒之一。 病毒过滤公司MessageLabs的专家们说,这种病毒的传播速度好像更快了。该公司的高级杀毒技术人员Alex Shipp说:“今天这个病毒开始疯狂起来。昨天,我们一整天接到了3.5万被该病毒感染的报告。今天,我们已经接到了3.7万个报告。” 查找这个病毒起源的搜索引擎正在工作。有一些线索表明,这种病毒可能来自韩国或者新加坡。专家们说,这个病毒邮件的地址多数都使用网络通用的地址,但是,有两个邮件的地址是指向韩国和新加坡的。 “熊熊虫”病毒已经感染了数百万台计算机,主要是没有最新杀毒软件保护的家用计算机。这种病毒不需要用户点击鼠标就能够自我复制。这种病毒还能破坏计算机的安全处理和口令。 “熊熊虫”病毒甚至能选择用不同的语言发送电子邮件,迷惑计算机用户。Shipp先生说,多数电子邮件病毒都是用英文写的,用外国语言编写的病毒不容易流行。然而,“熊熊虫”病毒如果是感染上德国的计算机,它就能选择用德语发送电子邮件。 在“熊熊虫”病毒流行的头几天,由于这个病毒文件的大小是50,688字节,用户可以通过文件的大小来识别这种病毒。目前,这种病毒在传播的过程中又携带上了其它的病毒,文件增大了,所以现在没有查找这种病毒的有效方法。 对于一些用户来说,即使你没有点击电子邮件的附件,这种病毒也能够传播。它是利用已知的微软Outlook程序中的一个安全漏洞。 安全专家建议,计算机用户应到杀毒软件公司的网站下载杀毒程序,从微软公司网站下载Outlook补丁程序,以保护自己不受这种病毒的危害。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。