“Win32.Bugbear”的意思、由来-中文百科全书

基本资料

病毒名称：Win32.Bugbear

其它名称：Win32/Bugbear.A, WORM_NATOSTA.A, Worm/Tanatos

病毒属性：特洛伊木马

危害性：低危害

流行程度：低

具体介绍

病毒类型

Win32.Bugbear是一种用微软Visual C++写成的e-mail蠕虫。病毒通过感染电子邮件进行传播。用户需要注意的是，附件的名称并不是固定的。被感染的标志就是文件包含有两个扩展名。文件的大小为50,688字节（UPX包）。

病毒运作原理

.DBX

.TBB

.EML

.MBX

.NCH

.MMF

INBOX

.ODS

病毒搜索任何与以上扩展名匹配的文件中正确的e-mail地址。这些地址被病毒用来发送它自己，并且也发送它自己到邮件里"发信人"的地址。这意味着在那些已经被蠕虫感染的e-mail中发信人也许并不是事实上的发送者。

这些地址信息和其他一些消息被以加密的形式保存在Windows目录下两个.DAT文件中。这两个文件也有通常的名字，比如：

C:\\WINDOWS\\kaewue.dat

C:\\WINDOWS\\uaisoi.dat

当选择自己的附件的名称时，病毒会通过阅读下面的这个注册表健植来搜索"我的文挡"：

HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Personal

如果在"我的文挡"中有文件存在，病毒会使用这个文件名来作为自己的附件名称，并且添加下列扩展名之一：

pif

exe

scr

它只使用已经包含一个"."字符的文件名，所以最后合成的文件名会包含两个扩展名。举个例子，如果一个文件"C:\\My Documents\\INFO.DOC"，病毒也许会使用下面的这个附件名称：

"INFO.DOC.scr"

如果在"我的文档"这个目录里没有合适的文件名，病毒会随即选择它自己列表中的一个：

readme

Setup

Card

Docs

news

music

song

data

病毒会再一次的添加上面的三个扩展名之一，比如：

data.pif

被病毒感染的e-mail的题目和内容，也许会来自已感染的系统，也许会由蠕虫本身产生。

如果是后一种情况，邮件的内容会显示为空。但它并不是完全的空，它包含有HTML代码，用来攻击IE、Outlook和Outlook Express的漏洞。如果成功，邮件附件会在阅读e-mail时自动被打开，而且并不为使用者所知。

想获取更多关于漏洞的信息，可以访问这里：

http://www.microsoft.com/technet/security/bulletin/ms01-020.asp

如何从分辨出邮件是否Win32.Bugbear?

首先瑞星,江民,卡巴斯基,360杀毒都能找到并杀掉此病毒

没有以上杀毒的时候可以自行在邮件中寻找,根据邮件的源代码,要是找到以下代码,则邮件已被植入病毒!

Greets!

Your News Alert

0 FREE Bonus!

Your Gift

New bonus in your cash account

new reading

CALL FOR INFORMATION!

25 merchants and rising

如何分辨出系统是否存在Win32.Bugbear?

病毒会创建几个文件，他们的名字通常为被感染电脑C盘的序列号名称。这意味着这些文件名称在每一台电脑上都会不同。

它通过下面的这个注册表健值来复制自己到系统目录和"Star up"文件夹：

HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup

在系统目录下的文件名为4个字符长，而"Star up"中的文件名则为3个字符长。比如：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\daw="jaom.exe"

病毒也同样在系统目录中创建3个扩展名为.DLL的文件，其中只有一个为实际的DLL库文件，另两个为病毒所使用的数据文件。真正的那个DLL文件的文件名为7个字符长，比如：

C:\\WINDOWS\\SYSTEM\\zakqlkq.dll

这个DLL文件被用来监测键盘输入。通常被用来窃取密码和一些敏感信息。

另两个文件的文件名为6到7个字符，比如：

C:\\WINDOWS\\SYSTEM\\eamoim.dll

C:\\WINDOWS\\SYSTEM\\pagurgu.dll

病毒会有规则的搜索下面的这些防病毒/防火墙应用程序，如果在内存中发现了，就会停止他们的运行。

ZONEALARM.EXE

WFINDV32.EXE

NUPGRADE.EXE

NORMIST.EXE

NMAIN.EXE　........等

词条	Win32.Bugbear
释义	Win32.Bugbear是一种用微软Visual C++写成的e-mail蠕虫。病毒通过感染电子邮件进行传播。用户需要注意的是，附件的名称并不是固定的。被感染的标志就是文件包含有两个扩展名。文件的大小为50,688字节（UPX包）。基本资料具体介绍(病毒类型病毒运作原理如何从分辨出邮件是否Win32.Bugbear? 如何分辨出系统是否存在Win32.Bugbear?) 基本资料病毒名称：Win32.Bugbear 其它名称：Win32/Bugbear.A, WORM_NATOSTA.A, Worm/Tanatos 病毒属性：特洛伊木马危害性：低危害流行程度：低具体介绍病毒类型 Win32.Bugbear是一种用微软Visual C++写成的e-mail蠕虫。病毒通过感染电子邮件进行传播。用户需要注意的是，附件的名称并不是固定的。被感染的标志就是文件包含有两个扩展名。文件的大小为50,688字节（UPX包）。病毒运作原理 .DBX .TBB .EML .MBX .NCH .MMF INBOX .ODS 病毒搜索任何与以上扩展名匹配的文件中正确的e-mail地址。这些地址被病毒用来发送它自己，并且也发送它自己到邮件里"发信人"的地址。这意味着在那些已经被蠕虫感染的e-mail中发信人也许并不是事实上的发送者。这些地址信息和其他一些消息被以加密的形式保存在Windows目录下两个.DAT文件中。这两个文件也有通常的名字，比如： C:\\WINDOWS\\kaewue.dat C:\\WINDOWS\\uaisoi.dat 当选择自己的附件的名称时，病毒会通过阅读下面的这个注册表健植来搜索"我的文挡"： HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Personal 如果在"我的文挡"中有文件存在，病毒会使用这个文件名来作为自己的附件名称，并且添加下列扩展名之一： pif exe scr 它只使用已经包含一个"."字符的文件名，所以最后合成的文件名会包含两个扩展名。举个例子，如果一个文件"C:\\My Documents\\INFO.DOC"，病毒也许会使用下面的这个附件名称： "INFO.DOC.scr" 如果在"我的文档"这个目录里没有合适的文件名，病毒会随即选择它自己列表中的一个： readme Setup Card Docs news music song data 病毒会再一次的添加上面的三个扩展名之一，比如： data.pif 被病毒感染的e-mail的题目和内容，也许会来自已感染的系统，也许会由蠕虫本身产生。如果是后一种情况，邮件的内容会显示为空。但它并不是完全的空，它包含有HTML代码，用来攻击IE、Outlook和Outlook Express的漏洞。如果成功，邮件附件会在阅读e-mail时自动被打开，而且并不为使用者所知。想获取更多关于漏洞的信息，可以访问这里： http://www.microsoft.com/technet/security/bulletin/ms01-020.asp 如何从分辨出邮件是否Win32.Bugbear? 首先瑞星,江民,卡巴斯基,360杀毒都能找到并杀掉此病毒没有以上杀毒的时候可以自行在邮件中寻找,根据邮件的源代码,要是找到以下代码,则邮件已被植入病毒! Greets! Your News Alert 0 FREE Bonus! Your Gift New bonus in your cash account new reading CALL FOR INFORMATION! 25 merchants and rising 如何分辨出系统是否存在Win32.Bugbear? 病毒会创建几个文件，他们的名字通常为被感染电脑C盘的序列号名称。这意味着这些文件名称在每一台电脑上都会不同。它通过下面的这个注册表健值来复制自己到系统目录和"Star up"文件夹： HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup 在系统目录下的文件名为4个字符长，而"Star up"中的文件名则为3个字符长。比如： HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\daw="jaom.exe" 病毒也同样在系统目录中创建3个扩展名为.DLL的文件，其中只有一个为实际的DLL库文件，另两个为病毒所使用的数据文件。真正的那个DLL文件的文件名为7个字符长，比如： C:\\WINDOWS\\SYSTEM\\zakqlkq.dll 这个DLL文件被用来监测键盘输入。通常被用来窃取密码和一些敏感信息。另两个文件的文件名为6到7个字符，比如： C:\\WINDOWS\\SYSTEM\\eamoim.dll C:\\WINDOWS\\SYSTEM\\pagurgu.dll 病毒会有规则的搜索下面的这些防病毒/防火墙应用程序，如果在内存中发现了，就会停止他们的运行。 ZONEALARM.EXE WFINDV32.EXE NUPGRADE.EXE NORMIST.EXE NMAIN.EXE　........等
随便看	猎迷AEW3预警机猎民绝艺：鄂伦春族狍皮制作技艺猎命猎命师传奇卷2 猎命师传奇卷六猎命师传奇卷五猎魔人第1季猎魔人-嗜血契约猎魔特警猎魔行动猎男季节猎鸟猎鸟无人机猎鸟一族2003 猎牛崖猎奇博士的女儿猎奇丹珠河谷猎奇旅游猎奇女友猎奇心理猎奇型旅游猎奇行动猎气猎区猎拳-街头争霸