基本介紹
- 中文名:VB蠕蟲變種ZBM
- 外文名:Worm.Win32.VB.zbm
- 依賴系統::Windows NT/2000/XP/2003
- 類別:蠕蟲病毒
- 入庫版本::20.34.11
簡介,威脅情況,
簡介
這是一個蠕蟲病毒。病毒運行後會把自身複製到系統目錄下,保存檔案名稱為“bsmain.exe”。同時在註冊表里創建該病毒的啟動項,實現隨系統自啟動。它又修改了Txt檔案關聯方式,用戶打開文本檔案時會自動運行該病毒。此外,病毒利用映像劫持技術,使得用戶運行主流防毒軟體和安全工具時運行該病毒。病毒感染系統分區以外分區的所有檔案,破壞檔案的完整性,可能造成用戶的重要檔案和數據丟失。之後病毒會自動卸載瑞星防毒軟體,使其無法正常使用,並且把自身檔案的圖示和版本信息修改的跟瑞星類似,欺騙用戶運行病毒檔案。
危險等級:★★★
病毒名稱:Worm.Win32.VB.zbm
截獲時間:2008.03.04
類型:病毒
感染的作業系統:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威脅情況
傳播級別:中
清除難度:困難
破壞力:低
這是一個用Virtual Basic語言編寫的一個蠕蟲病毒。
該病毒運行後,定位到瑞星防毒軟體的安裝目錄,運行Setup.exe程式,利用滑鼠模擬點擊將瑞星防毒軟體卸載.
病毒將自身更名為bsmain.exe複製到系統%SYSTEM32%目錄中.並在註冊表當中的HKLM\Software\Microsoft\Windows\CurrentVersion\Run里新建一個名為"bsmain.exe"的鍵值,內容為"%SYSTEM32%\bsmain.exe",接著修改system.ini檔案中的[Boot]項里添加"SHELL" explorer.exe %SYSTEM32%\bsmain.exe.修改以上兩個地方實際是為實現病毒的開機自啟動.接著修改txtfile\shell\open\command的默認鍵值為"%SYSTEM32%\bsmian.exe %1 *",修改後當用戶打開後綴為txt的檔案時,就會啟動該病毒.病毒還會修改檔案的映像劫持.在"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"子鍵里的如下各項:
AppSvc32.exe
avgrssvc.exe
ccSvcHst.exe
EGHOST.exe
IceSword.exe
KASTask.exe
AV32.exe
KAVDX.exe
KAVPF.exe
KMFilter.exe
KPfwSvc.exe
KVMonXP.kxp
KvReport.kxp
KVSrvXP.exe
kvupload.exe
KvXP.kxp
KvXP_1.kxp
mcconsol.exe
Navapw32.exe
PFWLiveUpdate.exe
QQDoctor.exe
Rav.exe
RavTask.exe
rfwmain.exe
RsAgent.exe
Rsaupd.exe
rstrui.exe
SmartUp.exe
TrojanDetector.exe
TrojDie.kxp
UmxAgent.exe
UmxCfg.exe
upiea.exe
USBCleaner.exe
在以上各鍵值中添加"Debugger" = "%SYSTEM32%\bsmain.exe".
病毒會感染除去系統分區的其它分區的所有檔案,被感染的檔案會被修改成病毒檔案,而且不能還原.
該病毒的圖示和版本信息偽裝成瑞星防毒軟體的圖示和版本信息,這樣對用戶有一定的欺騙作用,使用戶輕易上當並運行該病毒.有一定的危害力。
安全建議:
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Emial等傳來的可疑檔案。
6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中,可以有效保護密碼安全。
清除辦法:
瑞星防毒軟體清除辦法:
安裝瑞星防毒軟體,升級到20.34.11版以上,對電腦進行全盤掃描,按照軟體提示進行操作,即可徹底查殺。
