Worm.Novarg.ac/ad

內容分類： 蠕蟲病毒

關鍵字： SCO炸彈變種;Worm.Novarg.ac;ad

適用作業系統：Windows 作業系統

適用作業系統補丁版本：全部補丁適用

SCO炸彈變種AC/AD（Worm.Novarg.ac/ad）病毒檔案及解決方案。

病毒評估

警惕程度：★★★☆

依賴系統：WIN9X/NT/2000/XP

據介紹，SCO炸彈病毒的這兩個變種利用了IE瀏覽器的最新高危漏洞。該漏洞於2004年10月24日左右被公布，同年11月3日，瑞星截獲了利用該漏洞的第一個網頁病毒“侵入者”，當時瑞星公司的病毒專家就擔心，將會有利用此漏洞的病毒大規模傳播。

侵入用戶電腦後，“SCO炸彈變種AC/AD”病毒會搜尋電子郵件地址，瘋狂向外傳送垃圾郵件進行傳播。同時，病毒會把中毒電腦做成“殭屍機器”，黑客們可以遠程控制該電腦，進行多種危險的操作。瑞星反病毒專家提醒用戶，在目前的情況下暫時不要打開電子郵件里的網址連線，以免被病毒感染。

1．運行後，病毒將自己複製到“system”目錄，檔案名稱為：<隨機字元>32.exe。

2．在註冊HKLM\Software\Microsoft\Windows\CurrentVersion\Run中加入自己的鍵值：

Reactor3=%system%\<隨機字元>32.exe，以達到自啟動目的。

3．監聽1639連線埠聯接，當有聯接時病毒服務執行緒將向對方返回一個帶有IFRAME漏洞的頁面，當對方IE存在該漏洞時。將導致病毒被自動下載運行。

4．以特定的暱稱登錄MIRC伺服器，接受黑客的遠程控制。

5．搜尋磁碟檔案，並嘗試從以下擴展名的檔案中提取email地址，並向其傳送一封郵件：wab，pl，adbh，tbbg，dbxn，aspd，phpq，shtl，htmb，txt。

6．病毒郵件內容：Congratulations! PayPal has successfully charged $175 to your credit..card.?

Your order tracking number is A866DEC0, and your item will be shipped..

within three business days。

用戶如果在自己的計算機中發現以上全部或部分現象，則很有可能中了“SCO炸彈變種AC/AD”病毒。

解決方案

瑞星防毒軟體16.56及以上版本可以徹底攔截此病毒。