“Worm.Bobic.b”的意思、由来-中文百科全书

病毒概述

病毒别名：Net-Worm.Win32.Bobic.b[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

这是一个通过电子邮件传播的蠕虫病毒。该病毒会将系统的安全级别降到最低，禁止用户访问某些著名的安全网站，从Windows地址薄、Windows Messenger 联系人列表和.htm、.txt 、.dbx三种文件中收集邮件地址，再将病毒做为附件发送给这些邮件接收者。在收集邮件地址的时候，病毒会自动跳过带有某些字眼的地址，以防止被反病毒厂商截获。病毒邮件声称附件无毒，诱骗用户去打开附件。该病毒还会自动连接到预先设定好的HTTP服务器进行版本更新。

病毒行为

1)将自己拷贝到%System%\\[随机字母].exe

2)在注册表中添加启动项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

"[随机字母]"="%System%\\[随机字母].exe"

3)释放一个[随机名字].tmp的临时文件到%Temp%目录下，该文件其实是一个.dll文件，是病毒的主要功能模块；病毒会将该.dll文件注入到explorer.exe的进程中，并终止调用自己的进程[随机字母].exe。

4)将以下内容添加到%System%\\drivers\\hosts文件中，禁止用户访问这些安全网站：

255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

5)通过修改注册表来降低系统的安全级别：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center

"AntivirusDisableNotify"="1"

"FirewallDisableNotify"="1"

"FirewallOverride"="1"

"UpdatesDisableNotify"="1"

6)利用Windows系统的LSASS缓冲区溢出漏洞（MS04-011）来传播到没有打该漏洞补丁的机器上。

7)从Windows地址薄、Windows Messenger 联系人列表和以下三种文件中收集邮件地址：

.htm

.txt

.dbx

跳过带有以下串的邮件地址：

ogle

yaho

help

admi

ter@

micr

msn.

hotm

supp

yman

viru

tren

secu

.mil

urhq

pand

afee

soph

kasp

.gov

nort

8)邮件可能形式：

主题：

Saddam Hussein - Attempted Escape, Shot dead

正文：

Attached some pics that i found

主题：

Osama Bin Laden Captured.

正文：

Attached some pics that i found

主题：

Hey,

正文：

Remember this?

主题：

Testing

正文：

Secret!

主题：

Hey,

正文：

I was going through my album, and look what I found..

主题：

Hello,

正文：

Long time! Check this out!

主题：

Hey,

正文：

Check this out :-)

邮件中可能包含以下信息：

+++ Attachment: No Virus found

+++ You are protected

+++ <一个伪造的URL>

附件名：

Cool

pics

funny

bush

joke

secret

附件扩展名：

.pif

.src

.exe

.zip

8)病毒可能会从以下站点：

download.yahoo.com

ftp.scarlet.be

ftp.newaol.com

g.msn.com

下载并没有恶意的文件：

msgr6suite.exe

Firefox Setup 1.0.exe

Install_AIM.exe

SETUPDL.EXE

9)连接到几个预先设定好的HTTP服务器来更新自己。

词条	Worm.Bobic.b
释义	病毒概述病毒性质病毒行为病毒概述病毒别名：Net-Worm.Win32.Bobic.b[AVP] 处理时间：威胁级别：★★ 中文名称：病毒类型：蠕虫影响系统：Win9x / WinNT 病毒性质这是一个通过电子邮件传播的蠕虫病毒。该病毒会将系统的安全级别降到最低，禁止用户访问某些著名的安全网站，从Windows地址薄、Windows Messenger 联系人列表和.htm、.txt 、.dbx三种文件中收集邮件地址，再将病毒做为附件发送给这些邮件接收者。在收集邮件地址的时候，病毒会自动跳过带有某些字眼的地址，以防止被反病毒厂商截获。病毒邮件声称附件无毒，诱骗用户去打开附件。该病毒还会自动连接到预先设定好的HTTP服务器进行版本更新。病毒行为 1)将自己拷贝到%System%\\[随机字母].exe 2)在注册表中添加启动项： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices "[随机字母]"="%System%\\[随机字母].exe" 3)释放一个[随机名字].tmp的临时文件到%Temp%目录下，该文件其实是一个.dll文件，是病毒的主要功能模块；病毒会将该.dll文件注入到explorer.exe的进程中，并终止调用自己的进程[随机字母].exe。 4)将以下内容添加到%System%\\drivers\\hosts文件中，禁止用户访问这些安全网站： 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com 5)通过修改注册表来降低系统的安全级别： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center "AntivirusDisableNotify"="1" "FirewallDisableNotify"="1" "FirewallOverride"="1" "UpdatesDisableNotify"="1" 6)利用Windows系统的LSASS缓冲区溢出漏洞（MS04-011）来传播到没有打该漏洞补丁的机器上。 7)从Windows地址薄、Windows Messenger 联系人列表和以下三种文件中收集邮件地址： .htm .txt .dbx 跳过带有以下串的邮件地址： ogle yaho help admi ter@ micr msn. hotm supp yman viru tren secu .mil urhq pand afee soph kasp .gov nort 8)邮件可能形式：主题： Saddam Hussein - Attempted Escape, Shot dead 正文： Attached some pics that i found 主题： Osama Bin Laden Captured. 正文： Attached some pics that i found 主题： Hey, 正文： Remember this? 主题： Testing 正文： Secret! 主题： Hey, 正文： I was going through my album, and look what I found.. 主题： Hello, 正文： Long time! Check this out! 主题： Hey, 正文： Check this out :-) 邮件中可能包含以下信息： +++ Attachment: No Virus found +++ You are protected +++ <一个伪造的URL> 附件名： Cool pics funny bush joke secret 附件扩展名： .pif .src .exe .zip 8)病毒可能会从以下站点： download.yahoo.com ftp.scarlet.be ftp.newaol.com g.msn.com 下载并没有恶意的文件： msgr6suite.exe Firefox Setup 1.0.exe Install_AIM.exe SETUPDL.EXE 9)连接到几个预先设定好的HTTP服务器来更新自己。
随便看	自动开合丝锥自动颗粒计数系统自动空调控制系统自动空中三角测量自动控温自动控制V1.12 自动控制打压装置自动控制定向钻探自动控制阀门自动控制工程基础自动控制工程基础学习指导书自动控制理论(第3版) 自动控制理论例题习题集考研试题解析自动控制理论实验自动控制理论实验及综合系统设计自动控制理论实验与仿真自动控制理论习题集自动控制理论学习指导与习题解答自动控制理论要点与解题自动控制器自动控制升降公厕自动控制系统（第2版）自动控制系统工程设计自动控制系统解析法设计自动控制系统学习辅导与技能训练

病毒概述

病毒性质

病毒行为