)怪物病毒
怪物病毒病毒名称:Worm.Bugbear-A
病毒类型:蠕虫病毒
感染对象:网络/邮件
病毒长度:50688字节
警惕程度:★★★★★
2002年国庆长假期间,恶性蠕虫病毒“怪物”在中国首次登陆。这个怪物病毒的危害性比较大,也非常“聪明”。主要破坏性表现为:监控电脑用户的键盘动作,并截获用户的登录名和密码;修改注册表,电脑用户开机时病毒被自动启动;会自动搜索并杀掉它知道的反病毒软件的进程;向外界病毒客户端发送被感染用户的机密信息,如用户名和密码等等;并且,“怪物”病毒会攻击打印机,只要它找到打印机或者网络打印机,就会随机打印二进制代码。
同时,“怪物”病毒具有极强的传播能力。它会利用局域网进行传播,只要是能找到的资源,都会被“怪物”感染,这些被感染的机器只要一启动,病毒就会随之启动。
一、复制自身,释放“钩子”
怪物病毒病毒运行时,会将自身复制到system目录下,文件名为随机的4个字母,扩展名为.EXE(如:yyyy.EXE),并释放出一个动态链接库文件,大小为 5632字节,文件名为随机的6个字母,扩展名为.DLL(如:zzzzzz.DLL),这个DLL是一个钩子函数,用来监控键盘动作,以截获用户的登录名及密码。
二、 修改注册表,开机自启动
病毒通过查注册表得到系统的“开始菜单”→“程序”→“启动”的路径。并复制自己到该目录下,文件名为随机的3个字母,扩展名为.EXE。并在注册表的"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"中加入自身,保证系统重启时被自动执行。
三、 启动4个线程,进行全面传播
病毒运行后会启动4个线程:
1. 线程1启动后,会每隔30秒进行一次“进程遍历”工作,寻找病毒已知的反病毒软件的进程,发现后会将之杀掉,使杀毒软件全面失效。以下是病毒可以杀掉的反病毒软件的进程(106个进程):
| WFINDV32.EXE | ZONEALARM.EXE | WEBSCANX.EXE | VSSTAT.EXE | VSHWIN32.EXE |
| VSECOMR.EXE | VSCAN40.EXE | VETTRAY.EXE | VET95.EXE | TDS2-NT.EXE |
| TDS2-98.EXE | TCA.EXE | TBSCAN.EXE | SWEEP95.EXE | SPHINX.EXE |
| SMC.EXE | SERV95.EXE | SCRSCAN.EXE | SCANPM.EXE | SCAN95.EXE |
| SCAN32.EXE | SAFEWEB.EXE | RESCUE.EXE | RAV7WIN.EXE | RAV7.EXE |
| PERSFW.EXE | PCFWALLICON.EXE | PCCWIN98.EXE | PAVW.EXE | PAVSCHED.EXE |
| PAVCL.EXE | PADMIN.EXE | OUTPOST.EXE | NVC95.EXE | NUPGRADE.EXE |
| NORMIST.EXE | NMAIN.EXE | NISUM.EXE | NAVWNT.EXE | NAVW32.EXE |
| NAVNT.EXE | NAVLU32.EXE | NAVAPW32.EXE | MPFTRAY.EXE | N32SCANW.EXE |
| MOOLIVE.EXE | LOCKDOWN2000.EXE | LOOKOUT.EXE | LUALL.EXE | JEDI.EXE |
| IOMON98.EXE | IFACE.EXE | ICSUPPNT.EXE | ICSUPP95.EXE | ICMON.EXE |
| ICLOADNT.EXE | ICLOAD95.EXE | IBMAVSP.EXE | IBMASN.EXE | IAMSERV.EXE |
| IAMAPP.EXE | FRW.EXE | FPROT.EXE | FP-WIN.EXE | FINDVIRU.EXE |
| F-STOPW.EXE | F-PROT95.EXE | F-PROT.EXE | F-AGNT95.EXE | ESPWATCH.EXE |
| ESAFE.EXE | ECENGINE.EXE | DVP95_0.EXE | DVP95.EXE | CLEANER3.EXE |
| CLEANER.EXE | CLAW95CF.EXE | CLAW95.EXE | CFINET32.EXE | CFINET.EXE |
| CFIAUDIT.EXE | CFIADMIN.EXE | BLACKICE.EXE | BLACKD.EXE | AVWUPD32.EXE |
| AVWIN95.EXE | AVSCHED32.EXE | AVPUPD.EXE | AVPTC32.EXE | AVPM.EXE |
| AVPDOS32.EXE | AVPCC.EXE | AVP32.EXE | AVP.EXE | AVNT.EXE |
| AVKSERV.EXE | AVCONSOL.EXE | AVE32.EXE | _AVPM.EXE | AVGCTRL.EXE |
| APVXDWIN.EXE | ANTI-TROJAN.EXE | ACKWIN32.EXE | _AVPCC.EXE | AUTODOWN.EXE |
| _AVP32.EXE |
2. 线程2启动后会进行局域网传染,遍历所有的网络资源,找到后病毒会把自己复制到\\\$C\Documents and Settings\\「开始」菜单\程序\启动\siq.exe文件中,如果局域网中被感染的计算机重启的话,病毒便会被激活。
3. 线程3启动后会搜索硬盘上的地址簿文件,根据其中地址向外发送一封利用了MIME和IFRAME漏洞的病毒邮件(这种漏洞邮件不需要双击运行,只要预览该邮件,病毒就会运行),进行Internet传播。病毒邮件没有正文,邮件的标题是下列字符串中的任意一种:
| Hello! | update | Payment notices |
| Just a reminder | Correction of errors | history screen |
| Announcement | various | Introduction |
| Interesting... | I need help about script!!! | Please Help... |
| Report | Membership Confirmation | Get a FREE gift! |
| Today Only | New Contests | Lost & Found |
| bad news | fantastic | click on this! |
| Market Update Report | empty account | My eBay ads |
| 25 merchants and rising | CALL FOR INFORMATION! | new reading |
| Sponsors needed | SCAM alert!!! | Warning! |
| its easy | free shipping! | Daily Email Reminder |
| Tools For Your Online Business | New bonus in your cash account | Your Gift |
| $150 FREE Bonus! | Your News Alert | Get 8 FREE issues - no risk! |
| Greets! |
邮件的附件是被染毒机器上的某个文件名,一般含有如下字符串:
| Readme | Setup | Card | Docs | News | Image | Images |
| Pics | Resume | Photo | Video | Music | Song | Data |
附件的文件名是双扩展名,最后一个扩展名是 EXE、SCR 或 PIF,在一般的计算机中,文件的扩展名是隐藏的,这样通常用户只能看到一个扩展名。
4. 线程4启动时,会打开计算机的36794端口,并通过SMTP服务向外界病毒客户端程序发送用户的一些机密信息,如用户名、用户密码等。
四、 攻击打印机,扰乱正常打印
病毒如果检测到有打印机或者网络打印机的存在,会将病毒体的二进制代码随机取出进行打印,大量浪费墨水和纸张。
1.由于这个病毒在局域网中有极强的传播能力和破坏性,因此,对于局域网中的用户,只有安装网络版反病毒软件,才可以彻底根治这个病毒。
2.瑞星用户只需将软件升级到15.03及以上的版本可以自动截获并清除此病毒,望广大用户及时升级。
警惕程度:★★★★
怪物病毒发作时间:随机
病毒类型:蠕虫病毒
传播方式:局域网/邮件
感染对象:系统文件/网络
依赖系统:WIN9X//NT/2000/XP
病毒介绍:
该病毒于2003年6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身,病毒运行时会释放三个病毒体到系统目录,偷取用户键盘信息,监听端口开后门,并且感染文件,在感染的过程中破坏文件结构,使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录,并通过EMAIL地址向外发送大量病毒邮件,造成网络瘫痪等严重后果。
病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
1. 该病毒由于感染系统目录,释放的病毒文件名是随机的,因此可以查看一下注册表中的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中是否有可疑的键值。
2. 病毒运行时会在本地系统监听1080端口,等待控制台端的连入,形成一个病毒后门。该后门会暴露系统的安全信息,并且可以执行一些简单的控制命令,可以用一些端口监听工具查看1080端口。
3. 病毒会每隔20秒就查找一下内存,当发现有下列反病毒软件或防火墙的程序运行时,就会干掉这些程序,使它们失效,以下是病毒可以杀掉的进程:
| PCFWALLICON.EXE | PCCWIN98.EXE | PAV.EXE | PAVSCHED.EXE | PAVCL.EXE |
| PADMIN.EXE | OUTPOST.EXE | NVC95.EXE | NUPGRADE.EXE | NORMIST.EXE |
| NMAIN.EXE | NISUM.EXE | NAVWNT.EXE | NAVW32.EXE | NAVNT.EXE |
| NAVLU32.EXE | NAVAPW32.EXE | N32SCANW.EXE | MPFTRAY.EXE | MOOLIVE.EXE |
| LOCKDOWN2000.EXE | LOOKOUT.EXE | LUALL.EXE | JEDI.EXE | IOMON98.EXE |
| IFACE.EXE | ICSUPPNT.EXE | ICSUPP95.EXE | ICMON.EXE | ICLOADNT.EXE |
| ICLOAD95.EXE | IBMAVSP.EXE | IBMASN.EXE | IAMSERV.EXE | IAMAPP.EXE |
| FRW.EXE | APVXDWIN.EXE | FP-WIN.EXE | AUTODOWN.EXE | FPROT.EXE |
| ANTI-TROJAN.EXE | APVXDWIN.EXE | ACKWIN32.EXE | _AVPM.EXE | _AVPCC.EXE |
| _AVP32.EXE | …… |
如果用户安装了这些软件,并无故出错,则很可能是中了该病毒。
4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播,邮件标题可能为:
| Payment notices | update | various |
| hmm | Just a reminder | Correction of errors Announcement |
| New Contests | Get a FREE gift! | Today Only |
| My eBay ads | 25 merchants and rising | Cows |
| Your Gift | CALL FOR INFORMATION! | New reading |
| Sponsors needed | SCAM alert!!! | Warning! |
| Its easy | free | hipping! |
| Get 8 FREE issues - no risk! | Tools For Your Online Business | New |
| onus in your cash account | $150 FREE Bonus! | Your News Alert |
| Hi! | Daily | mail Reminder |
病毒邮件的附件名可能为:
| readme | Setup | Card | Docs | news | image | images | pics | resume | photo | video | music | song |
病毒邮件附件的扩展名可能为:
| .reg | .ini | .bat | .diz | .txt | .cpp | .html | .htm | .jpeg | .jpg | .gif | .cpl | .dll | .vxd | .sys | .com | .exe | .bmp |
如果用户收到了有以上内容的信件,则很可能是感染了该病毒。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了怪物II(Worm.BugBear.B)病毒。
“怪物(Bugbear)”病毒急速传播 几十个国家受感染
纽约2002年10月6日消息,专家称一个称作“怪物(Bugbear)”的由电子邮件运载的电脑病毒,继续在传播并且是今年进行着最严重攻击的病毒。该病毒能够让黑客操纵受到感染的电脑。
称作W32.Bugbear或I-Worm.Tanatos的这个蠕虫感染运行微软视窗操作系统的电脑。它于一周前被发现并且已经在数十个国家传播。一旦电脑被感染,黑客能够从这台电脑上窃取和删除数据信息。承载该病毒的电子邮件的标题可能是:“坏消息”、“成员资格确认”、“市场更新报告”和“你的礼物”。
怪物病毒该蠕虫通过运行微软视窗操作系统电脑中的电子邮件地址簿进行复制,并且能够使自己成为电子邮件的附件。它能够通过网络系统进行传播,在互联网上让黑客截取密码并且接入到受感染的电脑。据Symantec Corp.称,这个病毒还企图绕过反病毒程序和防火墙。该公司已经在它的网站上发布了一个可供下载使用的防范补丁,还将该“怪物(Bugbear)”定性为是一个严重的威胁。
芬兰赫尔辛基市F-Secure Corp.的反病毒研究经理Mikko Hypponen在给美联社的电子邮件中说,“怪物”目前对全球电脑安全产生了最严重的威胁。F-Secure Corp.在它的网站上也发布了一个修补这一问题的软件补丁。Hypponen说,预计该蠕虫的传播会持续到明年,因为许多消费者将不会意识到他们的电脑受到感染。
微软2001年曾发布一个该问题的补丁“安全公告MS01-027”,但许多用户目前并没有在他们的电脑上安装上这个补丁。
“怪物”病毒变种:专盗密码及信用卡资料
据沙特海湾新闻报报道,中东地区最近发现了一种名叫W32“怪物B”的专门盗取密码及信用卡信息资料的病毒。
这种病毒是由世界著名的反病毒公司于6月5号发现的。当染上这种病毒的用户在互联网上进入密码保护的网页,如在线银行或其它电子商务网站,他们的密码及帐户信息将被秘密地盗走。
怪物病毒一位分析家称,“怪物B”上带有1300多家银行及金融机构的网址。这说明病毒的发明人是将在线银行当作它的攻击对象。这与以前以电子信箱为主要对象的病毒有很大的差别。
RAS信息技术有限公司部经理阿克拉姆称,许多银行通过因特网为客户提供服务,通过击键输入密码,这种病毒发明人就是将金融机构将作攻击对象,这将给在线用户带来很大的安全隐患。他说:“我们建议用咖啡馆的电脑上网的用户在进入银行时一定要倍加小心,一定先确保这些电脑的反病毒软件已经经过最新更新。”
瑞星怪物病毒专杀工具 http://it.rising.com.cn/service/technology/ravbugbear_download.htm
金山毒霸怪物病毒专杀工具 http://download.it168.com/08/0804/7965/7965_4.shtml
