Worm.Bugbear-A

Worm.Bugbear-A是一種惡性蠕蟲病毒,2002年10月2日在中國首次登入。瑞星公司率先查殺了這種病毒,並把它命名為“怪物”病毒。這種病毒可以監控電腦用戶的鍵盤動作,並截獲用戶的登錄名和密碼;修改註冊表,電腦用戶開機時病毒被自動啟動;會自動搜尋並殺掉它知道的反病毒軟體的進程;向外界病毒客戶端傳送被感染用戶的機密信息,如用戶名和密碼;它會攻擊印表機,使同網路內的印表機隨機列印二進制代碼。同時,它具有極強的傳播能力。它會利用區域網路進行傳播,只要是能找到的資源,都會被感染。

基本介紹

  • 病毒名稱:Worm.Bugbear-A
  • 病毒類型蠕蟲病毒
  • 感染對象:網路/郵件
  • 病毒長度:50688位元組
  • 警惕程度:★★★★★
特性,複製自身,釋放“鉤子”,修改註冊表,開機自啟動,啟動4個執行緒,進行全面傳播,攻擊印表機,擾亂正常列印,解決方案,

特性

複製自身,釋放“鉤子”

病毒運行時,會將自身複製到system目錄下,檔案名稱為隨機的4個字母,擴展名為.EXE(如:yyyy.EXE),並釋放出一個動態程式庫檔案,大小為 5632位元組,檔案名稱為隨機的6個字母,擴展名為.DLL(如:zzzzzz.DLL),這個DLL是一個鉤子函式,用來監控鍵盤動作,以截獲用戶的登錄名及密碼。

修改註冊表,開機自啟動

病毒通過查註冊表得到系統的“開始選單”→“程式”→“啟動”的路徑。並複製自己到該目錄下,檔案名稱為隨機的3個字母,擴展名為.EXE。並在註冊表的"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"中加入自身,保證系統重啟時被自動執行。

啟動4個執行緒,進行全面傳播

病毒運行後會啟動4個執行緒:
1. 執行緒1啟動後,會每隔30秒進行一次“進程遍歷”工作,尋找病毒已知的反病毒軟體的進程,發現後會將之殺掉,使防毒軟體全面失效。以下是病毒可以殺掉的反病毒軟體的進程(106個進程):
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
2. 執行緒2啟動後會進行區域網路傳染,遍歷所有的網路資源,找到後病毒會把自己複製到\\<機器名>\$C\Documents and Settings\<用戶名>\「開始」選單\程式\啟動\siq.exe檔案中,如果區域網路中被感染的計算機重啟的話,病毒便會被激活。
3. 執行緒3啟動後會搜尋硬碟上的地址簿檔案,根據其中地址向外傳送一封利用了MIME和IFRAME漏洞的病毒郵件(這種漏洞郵件不需要雙擊運行,只要預覽該郵件,病毒就會運行),進行Internet傳播。病毒郵件沒有正文,郵件的標題是下列字元串中的任意一種:
Hello!
update
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!
郵件的附屬檔案是被染毒機器上的某個檔案名稱,一般含有如下字元串:
Readme
Setup
Card
Docs
News
Image
Images
Pics
Resume
Photo
Video
Music
Song
Data
附屬檔案的檔案名稱是雙擴展名,最後一個擴展名是 EXE、SCR 或 PIF,在一般的計算機中,檔案的擴
展名是隱藏的,這樣通常用戶只能看到一個擴展名。
4. 執行緒4啟動時,會打開計算機的36794連線埠,並通過SMTP服務向外界病毒客戶端程式傳送用戶的一些機密信息,如用戶名、用戶密碼等。

攻擊印表機,擾亂正常列印

病毒如果檢測到有印表機或者網路印表機的存在,會將病毒體的二進制代碼隨機取出進行列印,大量浪費墨水和紙張。

解決方案

1.瑞星公司已經於截獲病毒的當天進行了緊急升級,瑞星用戶只需將軟體升級到15.03及以上的版本可以自動截獲並清除此病毒,望廣大用戶及時升級。同時,由於這個病毒在區域網路中有極強的傳播能力和破壞性,因此,對於區域網路用戶,只有安裝了瑞星等廠家提供的網路版反病毒軟體,才可以徹底根治這個病毒。
2.2002年以後,這個病毒已經被各大主流防毒軟體收錄,已經沒有傳播的風險。

相關詞條

熱門詞條

聯絡我們