“怪物”病毒

“怪物”病毒

在國慶長假期間,一種惡性蠕蟲病毒在中國首次登入。此病毒危害性比較大,也非常“聰明”,它能夠殺防病毒軟體、偷取用戶機密信息並向外界傳送、利用區域網路和郵件傳播、攻擊印表機……,瑞星公司率先查殺了這種病毒,並把它命名為“怪物”病毒。

基本介紹

  • 中文名:“怪物”病毒
  • 外文名:Worm.Bugbear-A
  • 病毒類型:蠕蟲病毒
  • 感染對象:網路/郵件
  • 病毒長度:50688位元組
  • 病毒傳播:破壞計算機中的安全處理和口令
  • 病毒防禦:下載防毒程式、Outlook補丁程式
截獲病毒,基本信息,病毒介紹,複製自身,啟動執行緒,執行緒1啟動後,執行緒2啟動後,執行緒3啟動後,執行緒4啟動時,擾亂列印,急速傳播,病毒傳播,病毒流行,病毒防禦,

截獲病毒

瑞星公司已經於截獲病毒的當天進行了緊急升級,瑞星用戶只需將軟體升級到15.03及以上的版本可以自動截獲並清除此病毒,而對於區域網路用戶,只有安裝了瑞星等廠家提供的網路版反病毒軟體,才可以徹底根治這個病毒。
殺反病毒軟體並偷取用戶機密信息的“怪物”病毒。

基本信息

殺防病毒軟體、偷取用戶機密信息並向外界傳送、利用區域網路和郵件傳播、攻擊印表機……2002年10月2日,一種惡性蠕蟲病毒在中國首次登入。瑞星公司率先查殺了這種病毒,並把它命名為“怪物”病毒。
病毒名稱:Worm.Bugbear-A
病毒類型:蠕蟲病毒
感染對象:網路/郵件
病毒長度:50688位元組
警惕程度:★★★★★

病毒介紹

這個“怪物”病毒的危害性比較大,也非常“聰明”。主要破壞性表現為:監控電腦用戶的鍵盤動作,並截獲用戶的登錄名和密碼;修改註冊表!電腦用戶開機時病毒被自動啟動!會自動搜尋並殺掉它知道的反病毒軟體的進程;向外界病毒客戶端傳送被感染用戶的機密信息!如用戶名和密碼等等;並且,“怪物”病毒會攻擊印表機,只要它找到印表機或者網路印表機!就會隨機列印二進制代碼
同時,“怪物”病毒具有極強的傳播能力。它會利用區域網路進行傳播,只要是能找到的資源,都會被“怪物”感染,這些被感染的機器只要一啟動,病毒就會隨之啟動!
經瑞星反病毒專家分析,此病毒有以下特性:

複製自身

病毒運行時,會將自身複製到system目錄下,檔案名稱為隨機的4個字母,擴展名為.EXE(如:yyyy.EXE),並釋放出一個動態程式庫檔案,大小為 5632位元組,檔案名稱為隨機的6個字母,擴展名為.DLL(如:zzzzzz.DLL),這個DLL是一個鉤子函式,用來監控鍵盤動作,以截獲用戶的登錄名及密碼。
修改註冊表,開機自啟動
病毒通過查註冊表得到系統的“開始選單”→“程式”→“啟動”的路徑。並複製自己到該目錄下,檔案名稱為隨機的3個字母,擴展名為.EXE。並在註冊表的"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"中加入自身,保證系統重啟時被自動執行。

啟動執行緒

執行緒1啟動後

會每隔30秒進行一次“進程遍歷”工作,尋找病毒已知的反病毒軟體的進程,發現後會將之殺掉,使防毒軟體全面失效。以下是病毒可以殺掉的反病毒軟體的進程(106個進程):
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

執行緒2啟動後

會進行區域網路傳染,遍歷所有的網路資源,找到後病毒會把自己複製到\\<機器名>\$C\Documents and Settings\<用戶名>\「開始」選單\程式\啟動\siq.exe檔案中,如果區域網路中被感染的計算機重啟的話,病毒便會被激活。

執行緒3啟動後

會搜尋硬碟上的地址簿檔案,根據其中地址向外傳送一封利用了MIME和IFRAME漏洞的病毒郵件(這種漏洞郵件不需要雙擊運行,只要預覽該郵件,病毒就會運行),進行Internet傳播。病毒郵件沒有正文,郵件的標題是下列字元串中的任意一種:
Hello!
update
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
0 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!
郵件的附屬檔案是被染毒機器上的某個檔案名稱,一般含有如下字元串:
Readme
Setup
Card
Docs
News
Image
Images
Pics
Resume
Photo
Video
Music
Song
Data
附屬檔案的檔案名稱是雙擴展名,最後一個擴展名是 EXE、SCR 或 PIF,在一般的計算機中,檔案的擴展名是隱藏的,這樣通常用戶只能看到一個擴展名。

執行緒4啟動時

會打開計算機的36794連線埠,並通過SMTP服務向外界病毒客戶端程式傳送用戶的一些機密信息,如用戶名、用戶密碼等。

擾亂列印

病毒如果檢測到有印表機或者網路印表機的存在,會將病毒體的二進制代碼隨機取出進行列印,大量浪費墨水和紙張。
每日數萬封郵件遭感染 “Bugbear”病毒揮之不去
電子病蟲熊熊蟲(Bugbear)上周末仍高居病毒榜榜首,雖然防毒專家認為危險高峰期已過,但跡象顯示這隻病蟲短期內仍揮之不去。
代管世界各地電子郵件主機的英國電子郵件服務商Messagelabs說,該公司上周五攔截了66,000封遭熊熊蟲感染的電子郵件信息,到周六降到35,000封,周日繼續減為34,000封。
Messagelabs資深防毒技術人員Alex Shipp 7日說:“今天到目前為止,似乎出來作亂的熊熊蟲比上周減少,但我們尚未讓使用者提高警覺。病毒肆虐程度仍相當高。今天全天阻擋的病蟲數可能高達數萬隻。”
Shipp說,大多數使用者除非得知染毒,否則似乎沒有升級病毒軟體的習慣。這種行為模式打從Klez病毒為害以來即有,春季以來,Klez病毒的各種變形持續在Messagelabs的病毒警戒榜名列前茅,直到熊熊蟲經媒體披露而廣為人知,許多Klez受害者才終於下載新軟體終結那隻舊病蟲,然而不少人對熊熊蟲仍無招架之力。
他指出,熊熊蟲在被感染計算機上的發病症狀不多,即使計算機已遭攻擊,使用者甚至可能還不知要做預防措施。
熊熊蟲的術語稱為“W32.Bugbear”或“I-Worm.Tanatos”。專家相信,此蟲是早期病蟲“Badtrans”的改良版本。這隻病蟲內含後門,讓黑客藉此掌控計算機、解除各種防毒功能和任何既有的個人防火牆,進而安裝一種記錄鍵盤按鍵使用情況的程式,記下使用者輸入的任何登入密碼。病蟲會在計算機中搜尋電子郵件住址,然後透過自己內含的電子郵件引擎傳發染毒的信息。這隻病蟲只傳染Widnows計算機。
防毒專家一直擔心會有第二波攻擊,因為黑客可能利用熊熊蟲在成千上萬部計算機已經安裝的後門為害。但目前為止,看來這種風險比原先想像來得低。
“若要利用後門黑客必須了解其運作的方式。”Shipp說。“光憑鍵入隨機的指令,難以得知箇中玄機。所以利用後門的能力或許只限於這隻病毒的作者。不過,假如他在全球信息網上把後門機關的細節公諸於世,可能就另當別論。”
Shipp指出,別的黑客有可能以逆向工程方式摸索出後門的頭緒,但那頗花時間。Messagelabs已安裝了“honeypots”,也就是偽裝成經熊熊蟲感染的個人計算機,但目前為止尚未偵測出任何黑客上網搜尋已遭熊熊蟲開了後門的可下手對象。
“Bugbear”病毒(又名怪物)現身一周 蔓延速度已放緩
據研究人員周一表示,一支名為“Bugbear”的電腦蠕蟲在以較威力最大的“Klez”蠕蟲快兩倍速度迅速在網際網路擴散之後,蔓延速度已開始放緩。這支蠕蟲可在電腦上打開後門並且側錄使用者以鍵盤打入的資料。
據電腦病毒研究工程師舒姆格說,“Bugbear”在一周以前現身,其擴散速度在上周四達到顛峰後,周一似乎有放緩之勢。
舒姆格說,“我們仍處於高風險和高警戒狀態。”但他表示,風險程度可能在周二或周三降至中等。
舒姆格指出,“Bugbear”蠕蟲利用微軟IE瀏覽器的已知漏洞散播,而且電腦使用者只要閱讀郵件,甚至不必開啟郵件中的附屬檔案,就可以使電腦受感染。
他說,這支蠕蟲也可透過其他電子郵件軟體散播,但不會以上述方式自動啟動。
除了透過電子郵件以外,這支蠕蟲也會透過電腦網路共享的功能蔓延。
舒姆格說,“Bugbear”會試圖刪除防毒軟體,並且在受感染的系統開啟一道後門,供攻擊者竊取資料、刪除檔案和乾其他壞事。
他說,“這支木馬程式可以上傳或下載檔案、執行檔案、以及刪除執行中的應用程式。此外,它也可以攫取鍵盤的輸入紀錄。”

急速傳播

專家稱一個稱作“怪物(Bugbear)”的由電子郵件運載的電腦病毒,繼續在傳播並且是進行著最嚴重攻擊的病毒。該病毒能夠讓黑客操縱受到感染的電腦。
稱作W32.Bugbear或I-Worm.Tanatos的這個蠕蟲感染運行微軟視窗作業系統的電腦。它於一周前被發現並且已經在數十個國家傳播。一旦電腦被感染,黑客能夠從這台電腦上竊取和刪除數據信息。承載該病毒的電子郵件的標題可能是:“壞訊息”、“成員資格確認”、“市場更新報告”和“你的禮物”。
蠕蟲通過運行微軟視窗作業系統電腦中的電子郵件地址簿進行複製,並且能夠使自己成為電子郵件的附屬檔案。它能夠通過網路系統進行傳播,在網際網路上讓黑客截取密碼並且接入到受感染的電腦。據Symantec Corp.稱,這個病毒還企圖繞過反病毒程式和防火牆。該公司已經在它的網站上發布了一個可供下載使用的防範補丁,還將該“怪物(Bugbear)”定性為是一個嚴重的威脅。
芬蘭赫爾辛基市F-Secure Corp.的反病毒研究經理Mikko Hypponen在給美聯社的電子郵件中說,“怪物”目前對全球電腦安全產生了最嚴重的威脅。F-Secure Corp.在它的網站上也發布了一個修補這一問題的軟體補丁。Hypponen說,預計該蠕蟲的傳播會持續,因為許多消費者將不會意識到他們的電腦受到感染。
微軟曾發布一個該問題的補丁全公告MS01-027”,但許多用戶並沒有在他們的電腦上安裝上這個補丁。

病毒傳播

這種病毒能夠破壞計算機中的安全處理和口令,使計算機容易遭到黑客的攻擊,關閉計算機中的防毒程式並且發布保密的電子郵件。
1hos防毒公司高級技術顧問Graham Cluley說,這個病毒要像是最厲害的病毒之一。
病毒過濾公司MessageLabs的專家們說,這種病毒的傳播速度好像更快了。該公司的高級防毒技術人員Alex Shipp說:“今天這個病毒開始瘋狂起來。昨天,我們一整天接到了3.5萬被該病毒感染的報告。今天,我們已經接到了3.7萬個報告。”
查找這個病毒起源的搜尋引擎正在工作。有一些線索表明,這種病毒可能來自韓國或者新加坡。專家們說,這個病毒郵件的地址多數都使用網路通用的地址,但是,有兩個郵件的地址是指向韓國和新加坡的。

病毒流行

“熊熊蟲”病毒已經感染了數百萬台計算機,主要是沒有最新防毒軟體保護的家用計算機。這種病毒不需要用戶點擊滑鼠就能夠自我複製。這種病毒還能破壞計算機的安全處理和口令。
“熊熊蟲”病毒甚至能選擇用不同的語言傳送電子郵件,迷惑計算機用戶。Shipp先生說,多數電子郵件病毒都是用英文寫的,用外國語言編寫的病毒不容易流行。然而,“熊熊蟲”病毒如果是感染上德國的計算機,它就能選擇用德語傳送電子郵件。

病毒防禦

在“熊熊蟲”病毒流行的頭幾天,由於這個病毒檔案的大小是50,688位元組,用戶可以通過檔案的大小來識別這種病毒。這種病毒在傳播的過程中又攜帶上了其它的病毒,檔案增大了,所以沒有查找這種病毒的有效方法。
對於一些用戶來說,即使你沒有點擊電子郵件的附屬檔案,這種病毒也能夠傳播。它是利用已知的微軟Outlook程式中的一個安全漏洞。
安全專家建議,計算機用戶應到防毒軟體公司的網站下載防毒程式,從微軟公司網站下載Outlook補丁程式,以保護自己不受這種病毒的危害。

相關詞條

熱門詞條

聯絡我們