词条 | Worm.Bugbear-A |
释义 | Worm.Bugbear-A是一种恶性蠕虫病毒,2002年10月2日在中国首次登陆。瑞星公司率先查杀了这种病毒,并把它命名为“怪物”病毒。这种病毒可以监控电脑用户的键盘动作,并截获用户的登录名和密码;修改注册表,电脑用户开机时病毒被自动启动;会自动搜索并杀掉它知道的反病毒软件的进程;向外界病毒客户端发送被感染用户的机密信息,如用户名和密码;它会攻击打印机,使同网络内的打印机随机打印二进制代码。同时,它具有极强的传播能力。它会利用局域网进行传播,只要是能找到的资源,都会被感染。 病毒名称:Worm.Bugbear-A 病毒类型:蠕虫病毒 感染对象:网络/邮件 病毒长度:50688字节 警惕程度:★★★★★ 特性复制自身,释放“钩子”病毒运行时,会将自身复制到system目录下,文件名为随机的4个字母,扩展名为.EXE(如:yyyy.EXE),并释放出一个动态链接库文件,大小为 5632字节,文件名为随机的6个字母,扩展名为.DLL(如:zzzzzz.DLL),这个DLL是一个钩子函数,用来监控键盘动作,以截获用户的登录名及密码。 修改注册表,开机自启动病毒通过查注册表得到系统的“开始菜单”→“程序”→“启动”的路径。并复制自己到该目录下,文件名为随机的3个字母,扩展名为.EXE。并在注册表的"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce"中加入自身,保证系统重启时被自动执行。 启动4个线程,进行全面传播病毒运行后会启动4个线程: 1. 线程1启动后,会每隔30秒进行一次“进程遍历”工作,寻找病毒已知的反病毒软件的进程,发现后会将之杀掉,使杀毒软件全面失效。以下是病毒可以杀掉的反病毒软件的进程(106个进程): ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXE TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE RAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXE PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE LOCKDOWN2000.EXE JEDI.EXE IOMON98.EXE IFACE.EXE ICSUPPNT.EXE ICSUPP95.EXE ICMON.EXE ICLOADNT.EXE ICLOAD95.EXE IBMAVSP.EXE IBMASN.EXE IAMSERV.EXE IAMAPP.EXE FRW.EXE FPROT.EXE FP-WIN.EXE FINDVIRU.EXE F-STOPW.EXE F-PROT95.EXE F-PROT.EXE F-AGNT95.EXE ESPWATCH.EXE ESAFE.EXE ECENGINE.EXE DVP95_0.EXE DVP95.EXE CLEANER3.EXE CLEANER.EXE CLAW95CF.EXE CLAW95.EXE CFINET32.EXE CFINET.EXE CFIAUDIT.EXE CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE AVWUPD32.EXE AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE AVPTC32.EXE AVPM.EXE AVPDOS32.EXE AVPCC.EXE AVP32.EXE AVP.EXE AVNT.EXE AVKSERV.EXE AVGCTRL.EXE AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE APVXDWIN.EXE ANTI-TROJAN.EXE ACKWIN32.EXE _AVPM.EXE _AVPCC.EXE _AVP32.EXE 2. 线程2启动后会进行局域网传染,遍历所有的网络资源,找到后病毒会把自己复制到\\\\<机器名>\\$C\\Documents and Settings\\<用户名>\\「开始」菜单\\程序\\启动\\siq.exe文件中,如果局域网中被感染的计算机重启的话,病毒便会被激活。 3. 线程3启动后会搜索硬盘上的地址簿文件,根据其中地址向外发送一封利用了MIME和IFRAME漏洞的病毒邮件(这种漏洞邮件不需要双击运行,只要预览该邮件,病毒就会运行),进行Internet传播。病毒邮件没有正文,邮件的标题是下列字符串中的任意一种: Hello! update Payment notices Just a reminder Correction of errors history screen Announcement various Introduction Interesting... I need help about script!!! Please Help... Report Membership Confirmation Get a FREE gift! Today Only New Contests Lost & Found bad news fantastic click on this! Market Update Report empty account My eBay ads 25 merchants and rising CALL FOR INFORMATION! new reading Sponsors needed SCAM alert!!! Warning! its easy free shipping! Daily Email Reminder Tools For Your Online Business New bonus in your cash account Your Gift $150 FREE Bonus! Your News Alert Get 8 FREE issues - no risk! Greets! 邮件的附件是被染毒机器上的某个文件名,一般含有如下字符串: Readme Setup Card Docs News Image Images Pics Resume Photo Video Music Song Data 附件的文件名是双扩展名,最后一个扩展名是 EXE、SCR 或 PIF,在一般的计算机中,文件的扩 展名是隐藏的,这样通常用户只能看到一个扩展名。 4. 线程4启动时,会打开计算机的36794端口,并通过SMTP服务向外界病毒客户端程序发送用户的一些机密信息,如用户名、用户密码等。 攻击打印机,扰乱正常打印病毒如果检测到有打印机或者网络打印机的存在,会将病毒体的二进制代码随机取出进行打印,大量浪费墨水和纸张。 解决方案1.瑞星公司已经于截获病毒的当天进行了紧急升级,瑞星用户只需将软件升级到15.03及以上的版本可以自动截获并清除此病毒,望广大用户及时升级。同时,由于这个病毒在局域网中有极强的传播能力和破坏性,因此,对于局域网用户,只有安装了瑞星等厂家提供的网络版反病毒软件,才可以彻底根治这个病毒。 2.2002年以后,这个病毒已经被各大主流杀毒软件收录,已经没有传播的风险。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。