词条 | Worm.Win32.VB.zbm |
释义 | “VB蠕虫变种ZBM(Worm.Win32.VB.zbm)”病毒:警惕程度★★★,蠕虫病毒,通过U盘等可移动存储设备传播,依赖系统:Windows NT/2000/XP/2003。 这是一个蠕虫病毒。病毒运行后会把自身复制到系统目录下,保存文件名为“bsmain.exe”。同时在注册表里创建该病毒的启动项,实现随系统自启动。它又修改了Txt文件关联方式,用户打开文本文件时会自动运行该病毒。此外,病毒利用映像劫持技术,使得用户运行主流杀毒软件和安全工具时运行该病毒。病毒感染系统分区以外分区的所有文件,破坏文件的完整性,可能造成用户的重要文件和数据丢失。之后病毒会自动卸载瑞星杀毒软件,使其无法正常使用,并且把自身文件的图标和版本信息修改的跟瑞星类似,欺骗用户运行病毒文件。 危险等级:★★★ 病毒名称:Worm.Win32.VB.zbm 截获时间:2008.03.04 入库版本:20.34.11 类型:病毒 感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000 威胁情况: 传播级别:中 清除难度:困难 破坏力:低 这是一个用Virtual Basic语言编写的一个蠕虫病毒。 该病毒运行后,定位到瑞星杀毒软件的安装目录,运行Setup.exe程序,利用鼠标模拟点击将瑞星杀毒软件卸载. 病毒将自身更名为bsmain.exe复制到系统%SYSTEM32%目录中.并在注册表当中的HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run里新建一个名为"bsmain.exe"的键值,内容为"%SYSTEM32%\\bsmain.exe",接着修改system.ini文件中的[Boot]项里添加"SHELL" explorer.exe %SYSTEM32%\\bsmain.exe.修改以上两个地方实际是为实现病毒的开机自启动.接着修改txtfile\\shell\\open\\command的默认键值为"%SYSTEM32%\\bsmian.exe %1 *",修改后当用户打开后缀为txt的文件时,就会启动该病毒.病毒还会修改文件的映像劫持.在"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\"子键里的如下各项: AppSvc32.exe avgrssvc.exe ccSvcHst.exe EGHOST.exe IceSword.exe KASTask.exe AV32.exe KAVDX.exe KAVPF.exe KMFilter.exe KPfwSvc.exe KVMonXP.kxp KvReport.kxp KVSrvXP.exe kvupload.exe KvXP.kxp KvXP_1.kxp mcconsol.exe Navapw32.exe PFWLiveUpdate.exe QQDoctor.exe Rav.exe RavTask.exe rfwmain.exe RsAgent.exe Rsaupd.exe rstrui.exe SmartUp.exe TrojanDetector.exe TrojDie.kxp UmxAgent.exe UmxCfg.exe upiea.exe USBCleaner.exe 在以上各键值中添加"Debugger" = "%SYSTEM32%\\bsmain.exe". 病毒会感染除去系统分区的其它分区的所有文件,被感染的文件会被修改成病毒文件,而且不能还原. 该病毒的图标和版本信息伪装成瑞星杀毒软件的图标和版本信息,这样对用户有一定的欺骗作用,使用户轻易上当并运行该病毒.有一定的危害力。 安全建议: 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。 清除办法: 瑞星杀毒软件清除办法: 安装瑞星杀毒软件,升级到20.34.11版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。