Worm_Bobax.P

1、生成檔案

同時在目錄%Windows%中的臨時資料夾中生成一個名為~DF7.TMP的動態程式庫（DLL）組件。（其中，%Windows% 為作業系統的安裝目錄，通常為 C:\Windows 或 C:\WINNT）

2、修改註冊表項

蠕蟲會創建註冊表項，使得自身能夠在系統啟動時自動運行，會在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run中添加

{蠕蟲隨機的檔案名稱} = "{該檔案名稱}"，如disrr="disrr"

3、通過電子郵件進行傳播

蠕蟲在被感染用戶的系統內搜尋多種擴展名的檔案，找到電子郵件地址，並使用自帶的SMTP向這些地址傳送帶毒的電子郵件。

4、利用Windows漏洞進行網路傳播

該蠕蟲會利用Windows 的LSASS漏洞進行傳播。該漏洞屬於緩衝區溢出漏洞，可以允許執行遠程代碼並使攻擊者獲取受感染系統的控制權。同時，該蠕蟲通過利用受感染系統的漏洞傳送數據包，並在一個特殊的位置創建自身的拷貝。

5、其他功能

該蠕蟲會編輯系統的HOSTS檔案，該檔案里包含有所有IP位址的主機名。目的是阻止被感染系統的用戶訪問一些反病毒網站，以保護蠕蟲自身，形成更大範圍的擴散。

手工清除：

1、重啟後進入安全模式；

2、打開任務管理器，找到病毒對應的進程（如disrr.exe），結

束該進程；

3、打開註冊表編輯器，找到註冊表項

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run，刪除該項中的鍵值，如

disrr="disrr"；

4、清除HOSTS檔案中的病毒鍵。使用文本編輯器（如記事本）打

開如下檔案：

%System%\drivers\etc\HOSTS,刪除HOSTS檔案中有關反病毒的網址字元串，保存檔案並關閉註冊表編輯器。（其中，%System%通常為C:\Windows\System或 C:\WINNT\System32）

5、沒有打LSASS漏洞補丁程式的計算機，立即給系統安裝漏洞補

丁。