知识库编号： RSV0512299

内容分类： 蠕虫病毒

关键词： SCO炸弹变种;Worm.Novarg.ac;ad

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

SCO炸弹变种AC/AD（Worm.Novarg.ac/ad）病毒档案及解决方案。

病毒评估

警惕程度：★★★☆

发作时间：随机

病毒类型：蠕虫病毒

传播途径：邮件

依赖系统：WIN9X/NT/2000/XP

病毒介绍

2004年11月9日，瑞星全球反病毒监测网接连截获两个利用IE高危漏洞传播的蠕虫病毒，并命名为“SCO炸弹变种AC/AD（Worm.Novarg.ac/ad）”。瑞星反病毒专家介绍说，这两个病毒都会大量发送病毒邮件，邮件里带有网站连接，IE存在漏洞的用户点击这些连接后就会中毒。

据介绍，SCO炸弹病毒的这两个变种利用了IE浏览器的最新高危漏洞。该漏洞于2004年10月24日左右被公布，同年11月3日，瑞星截获了利用该漏洞的第一个网页病毒“侵入者”，当时瑞星公司的病毒专家就担心，将会有利用此漏洞的病毒大规模传播。

侵入用户电脑后，“SCO炸弹变种AC/AD”病毒会搜索电子邮件地址，疯狂向外发送垃圾邮件进行传播。同时，病毒会把中毒电脑做成“僵尸机器”，黑客们可以远程控制该电脑，进行多种危险的操作。瑞星反病毒专家提醒用户，在目前的情况下暂时不要打开电子邮件里的网址连接，以免被病毒感染。

病毒的特性、发现与清除

1．运行后，病毒将自己复制到“system”目录，文件名为：<随机字符>32.exe。

2．在注册HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中加入自己的键值：

Reactor3=%system%\\<随机字符>32.exe，以达到自启动目的。

3．监听1639端口联接，当有联接时病毒服务线程将向对方返回一个带有IFRAME漏洞的页面，当对方IE存在该漏洞时。将导致病毒被自动下载运行。

4．以特定的昵称登录MIRC服务器，接受黑客的远程控制。

5．搜索磁盘文件，并尝试从以下扩展名的文件中提取email地址，并向其发送一封邮件：wab，pl，adbh，tbbg，dbxn，aspd，phpq，shtl，htmb，txt。

6．病毒邮件内容：Congratulations! PayPal has successfully charged $175 to your credit..card.?

Your order tracking number is A866DEC0, and your item will be shipped..

within three business days。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“SCO炸弹变种AC/AD”病毒。

解决方案

瑞星杀毒软件16.56及以上版本可以彻底拦截此病毒。