基本介紹
- 中文名:Win32.Bugbear
- 病毒屬性:特洛伊木馬
- 危害性:低危害
- 流行程度:低
基本資料,具體介紹,病毒運作原理,如何從分辨出郵件是否Win32.Bugbear,如何分辨出系統是否存在Win32.Bugbear,
基本資料
其它名稱:Win32/Bugbear.A, WORM_NATOSTA.A, Worm/Tanatos
具體介紹
病毒運作原理
.DBX
.TBB
.EML
.MBX
.NCH
.MMF
INBOX
.ODS
病毒搜尋任何與以上擴展名匹配的檔案中正確的e-mail地址。這些地址被病毒用來傳送它自己,並且也傳送它自己到郵件里"發信人"的地址。這意味著在那些已經被蠕蟲感染的e-mail中發信人也許並不是事實上的傳送者。
這些地址信息和其他一些訊息被以加密的形式保存在Windows目錄下兩個.DAT檔案中。這兩個檔案也有通常的名字,比如:
C:\WINDOWS\kaewue.dat
C:\WINDOWS\uaisoi.dat
當選擇自己的附屬檔案的名稱時,病毒會通過閱讀下面的這個註冊表健植來搜尋"我的文擋":
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
如果在"我的文擋"中有檔案存在,病毒會使用這個檔案名稱來作為自己的附屬檔案名稱,並且添加下列擴展名之一:
pif
exe
scr
它只使用已經包含一個"."字元的檔案名稱,所以最後合成的檔案名稱會包含兩個擴展名。舉個例子,如果一個檔案"C:\My Documents\INFO.DOC",病毒也許會使用下面的這個附屬檔案名稱:
"INFO.DOC.scr"
如果在"我的文檔"這個目錄里沒有合適的檔案名稱,病毒會隨即選擇它自己列表中的一個:
readme
Setup
Card
Docs
news
music
song
data
病毒會再一次的添加上面的三個擴展名之一,比如:
data.pif
被病毒感染的e-mail的題目和內容,也許會來自已感染的系統,也許會由蠕蟲本身產生。
如果是後一種情況,郵件的內容會顯示為空。但它並不是完全的空,它包含有HTML代碼,用來攻擊IE、Outlook和Outlook Express的漏洞。如果成功,郵件附屬檔案會在閱讀e-mail時自動被打開,而且並不為使用者所知。
想獲取更多關於漏洞的信息,可以訪問這裡:
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
如何從分辨出郵件是否Win32.Bugbear
首先瑞星,江民,卡巴斯基,360防毒都能找到並殺掉此病毒
沒有以上防毒的時候可以自行在郵件中尋找,根據郵件的原始碼,要是找到以下代碼,則郵件已被植入病毒!
Greets!
Your News Alert
0 FREE Bonus!
Your Gift
New bonus in your cash account
new reading
CALL FOR INFORMATION!
25 merchants and rising
如何分辨出系統是否存在Win32.Bugbear
病毒會創建幾個檔案,他們的名字通常為被感染電腦C糟的序列號名稱。這意味著這些檔案名稱稱在每一台電腦上都會不同。
它通過下面的這個註冊表健值來複製自己到系統目錄和"Star up"資料夾:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
在系統目錄下的檔案名稱為4個字元長,而"Star up"中的檔案名稱則為3個字元長。比如:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\daw="jaom.exe"
病毒也同樣在系統目錄中創建3個擴展名為.DLL的檔案,其中只有一個為實際的DLL庫檔案,另兩個為 病毒所使用的數據檔案。真正的那個DLL檔案的檔案名稱為7個字元長,比如:
C:\WINDOWS\SYSTEM\zakqlkq.dll
這個DLL檔案被用來監測鍵盤輸入。通常被用來竊取密碼和一些敏感信息。
另兩個檔案的檔案名稱為6到7個字元,比如:
C:\WINDOWS\SYSTEM\eamoim.dll
C:\WINDOWS\SYSTEM\pagurgu.dll
ZONEALARM.EXE
WFINDV32.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE ........等
