“怪物病毒”的意思、由来-中文百科全书

概述

2002年国庆长假期间，恶性蠕虫病毒“怪物”在中国首次登陆。这个怪物病毒的危害性比较大，也非常“聪明”。主要破坏性表现为：监控电脑用户的键盘动作，并截获用户的登录名和密码；修改注册表，电脑用户开机时病毒被自动启动；会自动搜索并杀掉它知道的反病毒软件的进程；向外界病毒客户端发送被感染用户的机密信息，如用户名和密码等等；并且，“怪物”病毒会攻击打印机，只要它找到打印机或者网络打印机，就会随机打印二进制代码。

同时，“怪物”病毒具有极强的传播能力。它会利用局域网进行传播，只要是能找到的资源，都会被“怪物”感染，这些被感染的机器只要一启动，病毒就会随之启动。

特征

一、复制自身，释放“钩子”

怪物病毒

病毒运行时，会将自身复制到system目录下，文件名为随机的4个字母，扩展名为.EXE（如：yyyy.EXE），并释放出一个动态链接库文件，大小为 5632字节，文件名为随机的6个字母，扩展名为.DLL（如：zzzzzz.DLL），这个DLL是一个钩子函数,用来监控键盘动作，以截获用户的登录名及密码。

二、修改注册表，开机自启动

病毒通过查注册表得到系统的“开始菜单”→“程序”→“启动”的路径。并复制自己到该目录下，文件名为随机的3个字母，扩展名为.EXE。并在注册表的"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce"中加入自身，保证系统重启时被自动执行。

三、启动4个线程，进行全面传播

病毒运行后会启动4个线程：

1. 线程1启动后，会每隔30秒进行一次“进程遍历”工作，寻找病毒已知的反病毒软件的进程，发现后会将之杀掉，使杀毒软件全面失效。以下是病毒可以杀掉的反病毒软件的进程(106个进程)：

2. 线程2启动后会进行局域网传染，遍历所有的网络资源，找到后病毒会把自己复制到\\\\\\$C\\Documents and Settings\\\\「开始」菜单\\程序\\启动\\siq.exe文件中，如果局域网中被感染的计算机重启的话，病毒便会被激活。

3. 线程3启动后会搜索硬盘上的地址簿文件，根据其中地址向外发送一封利用了MIME和IFRAME漏洞的病毒邮件（这种漏洞邮件不需要双击运行，只要预览该邮件，病毒就会运行），进行Internet传播。

邮件的附件是被染毒机器上的某个文件名，

附件的文件名是双扩展名，最后一个扩展名是 EXE、SCR 或 PIF，在一般的计算机中，文件的扩展名是隐藏的，这样通常用户只能看到一个扩展名。

4. 线程4启动时，会打开计算机的36794端口，并通过SMTP服务向外界病毒客户端程序发送用户的一些机密信息，如用户名、用户密码等。

解决方案

1.由于这个病毒在局域网中有极强的传播能力和破坏性，因此，对于局域网中的用户，只有安装网络版反病毒软件，才可以彻底根治这个病毒。

2.瑞星用户只需将软件升级到15.03及以上的版本可以自动截获并清除此病毒，望广大用户及时升级。

变种介绍——怪物病毒II

发作时间：随机病毒类型：蠕虫病毒

传播方式：局域网/邮件

感染对象：系统文件/网络

依赖系统：WIN9X//NT/2000/XP

病毒介绍：

该病毒于2003年6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身，病毒运行时会释放三个病毒体到系统目录，偷取用户键盘信息，监听端口开后门，并且感染文件，在感染的过程中破坏文件结构，使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录，并通过EMAIL地址向外发送大量病毒邮件，造成网络瘫痪等严重后果。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 该病毒由于感染系统目录，释放的病毒文件名是随机的，因此可以查看一下注册表中的：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项中是否有可疑的键值。

2. 病毒运行时会在本地系统监听1080端口，等待控制台端的连入，形成一个病毒后门。该后门会暴露系统的安全信息，并且可以执行一些简单的控制命令，可以用一些端口监听工具查看1080端口。

3. 病毒会每隔20秒就查找一下内存，当发现有下列反病毒软件或防火墙的程序运行时，就会干掉这些程序，使它们失效，以下是病毒可以杀掉的进程：

PCFWALLICON.EXE　PCCWIN98.EXE　PAV.EXE　PAVSCHED.EXE　PAVCL.EXE

PADMIN.EXE　OUTPOST.EXE　NVC95.EXE　NUPGRADE.EXE　NORMIST.EXE

NMAIN.EXE　NISUM.EXE　NAVWNT.EXE　NAVW32.EXE　NAVNT.EXE

NAVLU32.EXE　NAVAPW32.EXE　N32SCANW.EXE　MPFTRAY.EXE　MOOLIVE.EXE

LOCKDOWN2000.EXE　LOOKOUT.EXE　LUALL.EXE　JEDI.EXE　IOMON98.EXE

IFACE.EXE　ICSUPPNT.EXE　ICSUPP95.EXE　ICMON.EXE　ICLOADNT.EXE

ICLOAD95.EXE　IBMAVSP.EXE　IBMASN.EXE　IAMSERV.EXE　IAMAPP.EXE

FRW.EXE　APVXDWIN.EXE　FP-WIN.EXE　AUTODOWN.EXE　FPROT.EXE

ANTI-TROJAN.EXE　APVXDWIN.EXE　ACKWIN32.EXE　_AVPM.EXE　_AVPCC.EXE

_AVP32.EXE　……　　　如果用户安装了这些软件，并无故出错，则很可能是中了该病毒。

4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播，邮件标题可能为：

Payment notices 　update　various

hmm　Just a reminder　Correction of errors Announcement

New Contests 　Get a FREE gift! 　Today Only

My eBay ads　25 merchants and rising　Cows

Your Gift　CALL FOR INFORMATION!　New reading

Sponsors needed 　SCAM alert!!!　Warning!

Its easy 　free 　hipping!

Get 8 FREE issues - no risk! 　Tools For Your Online Business　New

onus in your cash account　$150 FREE Bonus!　Your News Alert

Hi! 　Daily　mail Reminder病毒邮件的附件名可能为：

readme　Setup　Card　Docs　news　image　images　pics　resume　photo　video　music　song病毒邮件附件的扩展名可能为：

.reg　.ini　.bat　.diz　.txt　.cpp　.html　.htm　.jpeg　.jpg　.gif　.cpl　.dll　.vxd　.sys　.com　.exe　.bmp如果用户收到了有以上内容的信件，则很可能是感染了该病毒。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了怪物II（Worm.BugBear.B）病毒。

词条	怪物病毒
释义	概述特征解决方案变种介绍——怪物病毒II 相关报道概述 2002年国庆长假期间，恶性蠕虫病毒“怪物”在中国首次登陆。这个怪物病毒的危害性比较大，也非常“聪明”。主要破坏性表现为：监控电脑用户的键盘动作，并截获用户的登录名和密码；修改注册表，电脑用户开机时病毒被自动启动；会自动搜索并杀掉它知道的反病毒软件的进程；向外界病毒客户端发送被感染用户的机密信息，如用户名和密码等等；并且，“怪物”病毒会攻击打印机，只要它找到打印机或者网络打印机，就会随机打印二进制代码。同时，“怪物”病毒具有极强的传播能力。它会利用局域网进行传播，只要是能找到的资源，都会被“怪物”感染，这些被感染的机器只要一启动，病毒就会随之启动。特征一、复制自身，释放“钩子” 怪物病毒病毒运行时，会将自身复制到system目录下，文件名为随机的4个字母，扩展名为.EXE（如：yyyy.EXE），并释放出一个动态链接库文件，大小为 5632字节，文件名为随机的6个字母，扩展名为.DLL（如：zzzzzz.DLL），这个DLL是一个钩子函数,用来监控键盘动作，以截获用户的登录名及密码。二、修改注册表，开机自启动病毒通过查注册表得到系统的“开始菜单”→“程序”→“启动”的路径。并复制自己到该目录下，文件名为随机的3个字母，扩展名为.EXE。并在注册表的"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce"中加入自身，保证系统重启时被自动执行。三、启动4个线程，进行全面传播病毒运行后会启动4个线程： 1. 线程1启动后，会每隔30秒进行一次“进程遍历”工作，寻找病毒已知的反病毒软件的进程，发现后会将之杀掉，使杀毒软件全面失效。以下是病毒可以杀掉的反病毒软件的进程(106个进程)： 2. 线程2启动后会进行局域网传染，遍历所有的网络资源，找到后病毒会把自己复制到\\\\\\$C\\Documents and Settings\\\\「开始」菜单\\程序\\启动\\siq.exe文件中，如果局域网中被感染的计算机重启的话，病毒便会被激活。 3. 线程3启动后会搜索硬盘上的地址簿文件，根据其中地址向外发送一封利用了MIME和IFRAME漏洞的病毒邮件（这种漏洞邮件不需要双击运行，只要预览该邮件，病毒就会运行），进行Internet传播。邮件的附件是被染毒机器上的某个文件名，附件的文件名是双扩展名，最后一个扩展名是 EXE、SCR 或 PIF，在一般的计算机中，文件的扩展名是隐藏的，这样通常用户只能看到一个扩展名。 4. 线程4启动时，会打开计算机的36794端口，并通过SMTP服务向外界病毒客户端程序发送用户的一些机密信息，如用户名、用户密码等。解决方案 1.由于这个病毒在局域网中有极强的传播能力和破坏性，因此，对于局域网中的用户，只有安装网络版反病毒软件，才可以彻底根治这个病毒。 2.瑞星用户只需将软件升级到15.03及以上的版本可以自动截获并清除此病毒，望广大用户及时升级。变种介绍——怪物病毒II 发作时间：随机病毒类型：蠕虫病毒传播方式：局域网/邮件感染对象：系统文件/网络依赖系统：WIN9X//NT/2000/XP 病毒介绍：该病毒于2003年6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身，病毒运行时会释放三个病毒体到系统目录，偷取用户键盘信息，监听端口开后门，并且感染文件，在感染的过程中破坏文件结构，使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录，并通过EMAIL地址向外发送大量病毒邮件，造成网络瘫痪等严重后果。病毒的发现与清除：此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒： 1. 该病毒由于感染系统目录，释放的病毒文件名是随机的，因此可以查看一下注册表中的：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项中是否有可疑的键值。 2. 病毒运行时会在本地系统监听1080端口，等待控制台端的连入，形成一个病毒后门。该后门会暴露系统的安全信息，并且可以执行一些简单的控制命令，可以用一些端口监听工具查看1080端口。 3. 病毒会每隔20秒就查找一下内存，当发现有下列反病毒软件或防火墙的程序运行时，就会干掉这些程序，使它们失效，以下是病毒可以杀掉的进程： PCFWALLICON.EXE　PCCWIN98.EXE　PAV.EXE　PAVSCHED.EXE　PAVCL.EXE PADMIN.EXE　OUTPOST.EXE　NVC95.EXE　NUPGRADE.EXE　NORMIST.EXE NMAIN.EXE　NISUM.EXE　NAVWNT.EXE　NAVW32.EXE　NAVNT.EXE NAVLU32.EXE　NAVAPW32.EXE　N32SCANW.EXE　MPFTRAY.EXE　MOOLIVE.EXE LOCKDOWN2000.EXE　LOOKOUT.EXE　LUALL.EXE　JEDI.EXE　IOMON98.EXE IFACE.EXE　ICSUPPNT.EXE　ICSUPP95.EXE　ICMON.EXE　ICLOADNT.EXE ICLOAD95.EXE　IBMAVSP.EXE　IBMASN.EXE　IAMSERV.EXE　IAMAPP.EXE FRW.EXE　APVXDWIN.EXE　FP-WIN.EXE　AUTODOWN.EXE　FPROT.EXE ANTI-TROJAN.EXE　APVXDWIN.EXE　ACKWIN32.EXE　_AVPM.EXE　_AVPCC.EXE _AVP32.EXE　……　　　如果用户安装了这些软件，并无故出错，则很可能是中了该病毒。 4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播，邮件标题可能为： Payment notices 　update　various hmm　Just a reminder　Correction of errors Announcement New Contests 　Get a FREE gift! 　Today Only My eBay ads　25 merchants and rising　Cows Your Gift　CALL FOR INFORMATION!　New reading Sponsors needed 　SCAM alert!!!　Warning! Its easy 　free 　hipping! Get 8 FREE issues - no risk! 　Tools For Your Online Business　New onus in your cash account　$150 FREE Bonus!　Your News Alert Hi! 　Daily　mail Reminder病毒邮件的附件名可能为： readme　Setup　Card　Docs　news　image　images　pics　resume　photo　video　music　song病毒邮件附件的扩展名可能为： .reg　.ini　.bat　.diz　.txt　.cpp　.html　.htm　.jpeg　.jpg　.gif　.cpl　.dll　.vxd　.sys　.com　.exe　.bmp如果用户收到了有以上内容的信件，则很可能是感染了该病毒。用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了怪物II（Worm.BugBear.B）病毒。相关报道 “怪物(Bugbear)”病毒急速传播几十个国家受感染纽约2002年10月6日消息，专家称一个称作“怪物（Bugbear）”的由电子邮件运载的电脑病毒，继续在传播并且是今年进行着最严重攻击的病毒。该病毒能够让黑客操纵受到感染的电脑。称作W32.Bugbear或I-Worm.Tanatos的这个蠕虫感染运行微软视窗操作系统的电脑。它于一周前被发现并且已经在数十个国家传播。一旦电脑被感染，黑客能够从这台电脑上窃取和删除数据信息。承载该病毒的电子邮件的标题可能是：“坏消息”、“成员资格确认”、“市场更新报告”和“你的礼物”。该蠕虫通过运行微软视窗操作系统电脑中的电子邮件地址簿进行复制，并且能够使自己成为电子邮件的附件。它能够通过网络系统进行传播，在互联网上让黑客截取密码并且接入到受感染的电脑。据Symantec Corp.称，这个病毒还企图绕过反病毒程序和防火墙。该公司已经在它的网站上发布了一个可供下载使用的防范补丁，还将该“怪物（Bugbear）”定性为是一个严重的威胁。芬兰赫尔辛基市F-Secure Corp.的反病毒研究经理Mikko Hypponen在给美联社的电子邮件中说，“怪物”目前对全球电脑安全产生了最严重的威胁。F-Secure Corp.在它的网站上也发布了一个修补这一问题的软件补丁。Hypponen说，预计该蠕虫的传播会持续到明年，因为许多消费者将不会意识到他们的电脑受到感染。微软2001年曾发布一个该问题的补丁“安全公告MS01-027”，但许多用户目前并没有在他们的电脑上安装上这个补丁。 “怪物”病毒变种：专盗密码及信用卡资料据沙特海湾新闻报报道，中东地区最近发现了一种名叫W32“怪物B”的专门盗取密码及信用卡信息资料的病毒。这种病毒是由世界著名的反病毒公司于6月5号发现的。当染上这种病毒的用户在互联网上进入密码保护的网页，如在线银行或其它电子商务网站，他们的密码及帐户信息将被秘密地盗走。一位分析家称，“怪物B”上带有1300多家银行及金融机构的网址。这说明病毒的发明人是将在线银行当作它的攻击对象。这与以前以电子信箱为主要对象的病毒有很大的差别。 RAS信息技术有限公司部经理阿克拉姆称，许多银行通过因特网为客户提供服务，通过击键输入密码，这种病毒发明人就是将金融机构将作攻击对象，这将给在线用户带来很大的安全隐患。他说：“我们建议用咖啡馆的电脑上网的用户在进入银行时一定要倍加小心，一定先确保这些电脑的反病毒软件已经经过最新更新。”
随便看	佛山市直觉文化传播有限公司佛山市志升企业管理咨询机构佛山市志沃机械制造有限公司佛山市智盟人力资源有限公司佛山市智臻饮品销售有限公司佛山市中创艺卫浴制造有限公司佛山市中德自动化设备有限公司佛山市中基投资有限公司佛山市中金世捷资讯有限公司佛山市中矿钢铁有限公司佛山市中澜装饰设计有限公司佛山市中旅国际旅行社有限公司佛山市中迈五金有限公司佛山市中铭电子实业有限公司佛山市中南半导体照明研究院佛山市中南农业科技有限公司佛山市中鹏电气有限公司佛山市中泰开关厂佛山市中小学校舍安全工程实施意见佛山市中心血站佛山市重钢机电科技有限公司佛山市众森装饰设计有限公司佛山市众盈电子有限公司佛山市注册会计师协会佛山市卓朗悦斯建材有限公司

概述

特征

解决方案

变种介绍——怪物病毒II

相关报道