中文名为“本.拉登病毒”，类型为Win32病毒，影响系统Win9x / WinNT。该病毒具有的一个很强的特性就是会躲避一般查毒软件的查杀，变化多端，是一种高级变形病毒，加大了查杀难度。

病毒简介

病毒行为

有关特征

病毒简介

病毒别名：

处理时间：2001-11-17

威胁级别：★★

中文名称：本.拉登

病毒类型：Win32病毒

影响系统：Win9x / WinNT

病毒行为

该病毒发的邮件同“尼姆达”病毒、“求职信”病毒一样，也能利用微软的漏洞。被该病毒感染后会在系统中生成任意文件名称的蠕虫体程序，同时修改系统安装文件让蠕虫体程序每次自动运行该程序，它运行后便通过发送邮件复制传播自己。由于，该病毒的机理特性，它能够调用系统中相关数据进行变形来逃脱杀毒软件的查杀。感染该病毒的计算机，会由病毒控制着持续的自动拨号上网，而关机则不易成功。该病毒会每感染一个目标而将自身变化一次。但其信件还是具有一般特性。如果您收到类似“Bin Laden toillete paper !! ”标题的信件，请千万不要打开。

有关特征

本.拉登病毒的邮件具有如下特征：

1、通过搜索ICQ网站来取得邮件地址，使用匿名的方式采用SMTP协议发送带毒邮件。

2、该病毒利用了Outlook的MIME漏洞。当我们预览含有病毒邮件时，病毒邮件体内脚本w代码在将被执行，如果计算机上所使用的Outlook浏览器存在该漏洞，计算机将被感染。

3、邮件带有一份名为BINLADEN_BRASIL.EXE的附件，该病毒的附件实际上是一个可执行

的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后，若Outlook存在漏洞的话，Outlook会认为该附件是一个声音文件而直接执行它。

本.拉登病毒感染部分的特征：

它有两种感染方式，第一种感染方式不变形，但把文件的入口地址改为0，修改MZ部分文件头，在“MZ”标记后面加上十六进制的EB 4A，它跟“MZ”一起，可以组成如下指令：

DEC EBP

POP EDX

JMP 40004E （注：此为相对跳转，是要跳到MZ头偏移4E出执行，如果文件基地址不是400000H，反汇编出来就不是40004E）

而在MZ头部偏移4E的位置，病毒还会加上一些代码，使之能跳到后面的病毒体中去运行，该后部分病毒体未加密，未变形。

第二种感染方式不修改MZ头，但使用了一种特殊的变形技术，它将所有的病毒体代码都变换生成变形后的代码，使人无法静态分析。病毒的变形代码将解码后的代码放入堆栈，最后跳入堆栈运行！实际上，在堆栈中的病毒代码和第一种感染方式的后部分代码是一样的。另外，病毒需要在文件中找一些指令（558BEC83EC)，然后，病毒修改它为相对的CALL调用，以便自己获得控制权。

无论第一种感染方式还是第二种感染方式，病毒都会检查文件的信息：查询文件长度，如果小于24576字节或者(文件长度-7)/101能整除，就不进行感染。另外，如果文件的节表不正常，病毒也不进行感染。

注意，由于病毒感染文件时，没有对齐文件，所以感染后的文件在WinNT、Win2K、WinXP下很可能不能运行（系统提示非法的Win32程序），当然，经过杀毒后，文件可以恢复正常。