Win32.Invictus

中文名為“本.拉登病毒”,類型為Win32病毒,影響系統Win9x / WinNT。該病毒具有的一個很強的特性就是會躲避一般查毒軟體的查殺,變化多端,是一種高級變形病毒,加大了查殺難度。

基本介紹

  • 中文名:Win32.Invictus
  • 處理時間:2001-11-17
  • 中文名稱:本.拉登
  • 病毒類型:Win32病毒
  • 影響系統:Win9x / WinNT
病毒簡介,病毒行為,有關特徵,

病毒簡介

病毒別名:
:2001-11-17處理時間
威脅級別:★★
中文名稱:本.拉登
病毒類型:Win32病毒

病毒行為

該病毒發的郵件同“尼姆達”病毒、“求職信”病毒一樣,也能利用微軟的漏洞。被該病毒感染後會在系統中生成任意檔案名稱稱的蠕蟲體程式,同時修改系統安裝檔案讓蠕蟲體程式每次自動運行該程式,它運行後便通過傳送郵件複製傳播自己。由於,該病毒的機理特性,它能夠調用系統中相關數據進行變形來逃脫防毒軟體的查殺。感染該病毒的計算機,會由病毒控制著持續的自動撥接,而關機則不易成功。該病毒會每感染一個目標而將自身變化一次。但其信件還是具有一般特性。如果您收到類似“Bin Laden toillete paper !! ”標題的信件,請千萬不要打開。

有關特徵

本.拉登病毒的郵件具有如下特徵:
1、通過搜尋ICQ網站來取得郵件地址,使用匿名的方式採用SMTP協定傳送帶毒郵件。
2、該病毒利用了Outlook的MIME漏洞。當我們預覽含有病毒郵件時,病毒郵件體內腳本w代碼在將被執行,如果計算機上所使用的Outlook瀏覽器存在該漏洞,計算機將被感染。
3、郵件帶有一份名為BINLADEN_BRASIL.EXE的附屬檔案,該病毒的附屬檔案實際上是一個可執行
的檔案,但是該蠕蟲設定成audio/x-wav的檔案類型,因此當Outlook在收到該信件後,若Outlook存在漏洞的話,Outlook會認為該附屬檔案是一個聲音檔案而直接執行它。
本.拉登病毒感染部分的特徵:
它有兩種感染方式,第一種感染方式不變形,但把檔案的入口地址改為0,修改MZ部分檔案頭,在“MZ”標記後面加上十六進制的EB 4A,它跟“MZ”一起,可以組成如下指令:
DEC EBP
POP EDX
JMP 40004E (註:此為相對跳轉,是要跳到MZ頭偏移4E出執行,如果檔案基地址不是400000H,反彙編出來就不是40004E)
而在MZ頭部偏移4E的位置,病毒還會加上一些代碼,使之能跳到後面的病毒體中去運行,該後部分病毒體未加密,未變形。
第二種感染方式不修改MZ頭,但使用了一種特殊的變形技術,它將所有的病毒體代碼都變換生成變形後的代碼,使人無法靜態分析。病毒的變形代碼將解碼後的代碼放入堆疊,最後跳入堆疊運行!實際上,在堆疊中的病毒代碼和第一種感染方式的後部分代碼是一樣的。另外,病毒需要在檔案中找一些指令(558BEC83EC),然後,病毒修改它為相對的CALL調用,以便自己獲得控制權。
無論第一種感染方式還是第二種感染方式,病毒都會檢查檔案的信息:查詢檔案長度,如果小於24576位元組或者(檔案長度-7)/101能整除,就不進行感染。另外,如果檔案的節表不正常,病毒也不進行感染。
注意,由於病毒感染檔案時,沒有對齊檔案,所以感染後的檔案在WinNT、Win2K、WinXP下很可能不能運行(系統提示非法的Win32程式),當然,經過防毒後,檔案可以恢復正常。

相關詞條

熱門詞條

聯絡我們