怪物病毒病毒名稱:Worm.bugbear-A
病毒類型:蠕蟲病毒
感染對象:網路/郵件
病毒長度:50688位元組
警惕程度:★★★★★
病毒特徵
一、複製自身,釋放“鉤子”
怪物病毒病毒運行時,會將自身複製到system目錄下,檔案名稱為隨機的4個字母,擴展名為.EXE(如:yyyy.EXE),並釋放出一個動態程式庫檔案,大小為 5632位元組,檔案名稱為隨機的6個字母,擴展名為.DLL(如:zzzzzz.DLL),這個DLL是一個鉤子函式,用來監控鍵盤動作,以截獲用戶的登錄名及密碼。
二、 修改註冊表,開機自啟動
病毒通過查註冊表得到系統的“開始選單”→“程式”→“啟動”的路徑。並複製自己到該目錄下,檔案名稱為隨機的3個字母,擴展名為.EXE。並在註冊表的"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"中加入自身,保證系統重啟時被自動執行。
三、 啟動4個執行緒,進行全面傳播
病毒運行後會啟動4個執行緒:
1. 執行緒1啟動後,會每隔30秒進行一次“進程遍歷”工作,尋找病毒已知的反病毒軟體的進程,發現後會將之殺掉,使防毒軟體全面失效。以下是病毒可以殺掉的反病毒軟體的進程(106個進程):
| WFINDV32.EXE | ZONEALARM.EXE | WEBSCANX.EXE | VSSTAT.EXE | VSHWIN32.EXE |
| VSECOMR.EXE | VSCAN40.EXE | vettray.exe | VET95.EXE | TDS2-NT.EXE |
| TDS2-98.EXE | TCA.EXE | TBSCAN.EXE | SWEEP95.EXE | SPHINX.EXE |
| SMC.EXE | SERV95.EXE | SCRSCAN.EXE | SCANPM.EXE | SCAN95.EXE |
| SCAN32.EXE | SAFEWEB.EXE | RESCUE.EXE | RAV7WIN.EXE | RAV7.EXE |
| persfw.exe | PCFWALLICON.EXE | PCCWIN98.EXE | PAVW.EXE | PAVSCHED.EXE |
| PAVCL.EXE | PADMIN.EXE | OUTPOST.EXE | NVC95.EXE | NUPGRADE.EXE |
| NORMIST.EXE | NMAIN.EXE | NISUM.EXE | NAVWNT.EXE | NAVW32.EXE |
| NAVNT.EXE | NAVLU32.EXE | NAVAPW32.EXE | mpftray.exe | N32SCANW.EXE |
| MOOLIVE.EXE | LOCKDOWN2000.EXE | LOOKOUT.EXE | LUALL.EXE | JEDI.EXE |
| IOMON98.EXE | IFACE.EXE | ICSUPPNT.EXE | ICSUPP95.EXE | ICMON.EXE |
| ICLOADNT.EXE | ICLOAD95.EXE | IBMAVSP.EXE | IBMASN.EXE | IAMSERV.EXE |
| IAMAPP.EXE | FRW.EXE | FPROT.EXE | FP-WIN.EXE | FINDVIRU.EXE |
| F-STOPW.EXE | F-PROT95.EXE | F-PROT.EXE | F-AGNT95.EXE | ESPWATCH.EXE |
| ESAFE.EXE | ECENGINE.EXE | DVP95_0.EXE | DVP95.EXE | CLEANER3.EXE |
| CLEANER.EXE | CLAW95CF.EXE | CLAW95.EXE | CFINET32.EXE | CFINET.EXE |
| CFIAUDIT.EXE | CFIADMIN.EXE | BLACKICE.EXE | BLACKD.EXE | AVWUPD32.EXE |
| AVWIN95.EXE | avsched32.exe | AVPUPD.EXE | AVPTC32.EXE | AVPM.EXE |
| AVPDOS32.EXE | AVPCC.EXE | AVP32.EXE | AVP.EXE | AVNT.EXE |
| AVKSERV.EXE | AVCONSOL.EXE | AVE32.EXE | _AVPM.EXE | AVGCTRL.EXE |
| APVXDWIN.EXE | ANTI-TROJAN.EXE | ACKWIN32.EXE | _AVPCC.EXE | AUTODOWN.EXE |
| _AVP32.EXE |
2. 執行緒2啟動後會進行區域網路傳染,遍歷所有的網路資源,找到後病毒會把自己複製到\\\$C\Documents and Settings\\「開始」選單\程式\啟動\siq.exe檔案中,如果區域網路中被感染的計算機重啟的話,病毒便會被激活。
3. 執行緒3啟動後會搜尋硬碟上的地址簿檔案,根據其中地址向外傳送一封利用了MIME和IFRAME漏洞的病毒郵件(這種漏洞郵件不需要雙擊運行,只要預覽該郵件,病毒就會運行),進行Internet傳播。病毒郵件沒有正文,郵件的標題是下列字元串中的任意一種:
| Hello! | update | Payment notices |
| Just a reminder | Correction of errors | history screen |
| Announcement | various | Introduction |
| Interesting... | I need help about script!!! | Please Help... |
| Report | Membership Confirmation | Get a FREE gift! |
| Today Only | New Contests | Lost & Found |
| bad news | fantastic | click on this! |
| Market Update Report | empty account | My eBay ads |
| 25 merchants and rising | CALL FOR INFORMATION! | new reading |
| Sponsors needed | SCAM alert!!! | Warning! |
| its easy | free shipping! | Daily Email Reminder |
| Tools For Your Online Business | New bonus in your cash account | Your Gift |
| $150 FREE Bonus! | Your News Alert | Get 8 FREE issues - no risk! |
| Greets! |
郵件的附屬檔案是被染毒機器上的某個檔案名稱,一般含有如下字元串:
| Readme | Setup | Card | Docs | News | Image | Images |
| Pics | Resume | Photo | Video | Music | Song | Data |
附屬檔案的檔案名稱是雙擴展名,最後一個擴展名是 EXE、SCR 或 PIF,在一般的計算機中,檔案的擴展名是隱藏的,這樣通常用戶只能看到一個擴展名。
4. 執行緒4啟動時,會打開計算機的36794連線埠,並通過SMTP服務向外界病毒客戶端程式傳送用戶的一些機密信息,如用戶名、用戶密碼等。
四、 攻擊印表機,擾亂正常列印
病毒如果檢測到有印表機或者網路印表機的存在,會將病毒體的二進制代碼隨機取出進行列印,大量浪費墨水和紙張。
解決方案
1.由於這個病毒在區域網路中有極強的傳播能力和破壞性,因此,對於區域網路中的用戶,只有安裝網路版反病毒軟體,才可以徹底根治這個病毒。
2.瑞星用戶只需將軟體升級到15.03及以上的版本可以自動截獲並清除此病毒,望廣大用戶及時升級。
變種介紹——怪物病毒II
警惕程度:★★★★
怪物病毒發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:區域網路/郵件
感染對象:系統檔案/網路
依賴系統:WIN9X//NT/2000/XP
病毒介紹:
該病毒於2003年6月6日被瑞星全球反病毒監測網截獲。該病毒集系統、黑客、後門、蠕蟲等多種病毒特性與一身,病毒運行時會釋放三個病毒體到系統目錄,偷取用戶鍵盤信息,監聽連線埠開後門,並且感染檔案,在感染的過程中破壞檔案結構,使一些反病毒軟體無法正常清除。另外該病毒還會感染區域網路中的已分享資料夾,並通過EMAIL地址向外傳送大量病毒郵件,造成網路癱瘓等嚴重後果。
病毒的發現與清除:
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
1. 該病毒由於感染系統目錄,釋放的病毒檔案名稱是隨機的,因此可以查看一下註冊表中的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中是否有可疑的鍵值。
2. 病毒運行時會在本地系統監聽1080連線埠,等待控制台端的連入,形成一個病毒後門。該後門會暴露系統的安全信息,並且可以執行一些簡單的控制命令,可以用一些連線埠監聽工具查看1080連線埠。
3. 病毒會每隔20秒就查找一下記憶體,當發現有下列反病毒軟體或防火牆的程式運行時,就會幹掉這些程式,使它們失效,以下是病毒可以殺掉的進程:
| PCFWALLICON.EXE | PCCWIN98.EXE | pav.exe | PAVSCHED.EXE | PAVCL.EXE |
| PADMIN.EXE | OUTPOST.EXE | NVC95.EXE | NUPGRADE.EXE | NORMIST.EXE |
| NMAIN.EXE | NISUM.EXE | NAVWNT.EXE | NAVW32.EXE | NAVNT.EXE |
| NAVLU32.EXE | NAVAPW32.EXE | N32SCANW.EXE | MPFTRAY.EXE | MOOLIVE.EXE |
| LOCKDOWN2000.EXE | LOOKOUT.EXE | LUALL.EXE | JEDI.EXE | IOMON98.EXE |
| IFACE.EXE | ICSUPPNT.EXE | ICSUPP95.EXE | ICMON.EXE | ICLOADNT.EXE |
| ICLOAD95.EXE | IBMAVSP.EXE | IBMASN.EXE | IAMSERV.EXE | IAMAPP.EXE |
| FRW.EXE | APVXDWIN.EXE | FP-WIN.EXE | AUTODOWN.EXE | FPROT.EXE |
| ANTI-TROJAN.EXE | APVXDWIN.EXE | ACKWIN32.EXE | _AVPM.EXE | _AVPCC.EXE |
| _AVP32.EXE | …… |
如果用戶安裝了這些軟體,並無故出錯,則很可能是中了該病毒。
4. 病毒會試圖從後綴後為.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的檔案中搜出mail地址進行郵件傳播,郵件標題可能為:
| Payment notices | update | various |
| hmm | Just a reminder | Correction of errors Announcement |
| New Contests | Get a FREE gift! | Today Only |
| My eBay ads | 25 merchants and rising | Cows |
| Your Gift | CALL FOR INFORMATION! | New reading |
| Sponsors needed | SCAM alert!!! | Warning! |
| Its easy | free | hipping! |
| Get 8 FREE issues - no risk! | Tools For Your Online Business | New |
| onus in your cash account | $150 FREE Bonus! | Your News Alert |
| Hi! | Daily | mail Reminder |
病毒郵件的附屬檔案名可能為:
| readme | Setup | Card | Docs | news | image | images | pics | resume | photo | video | music | song |
病毒郵件附屬檔案的擴展名可能為:
| .reg | .ini | .bat | .diz | .txt | .cpp | .html | .htm | .jpeg | .jpg | .gif | .cpl | .dll | .vxd | .sys | .com | .exe | .bmp |
如果用戶收到了有以上內容的信件,則很可能是感染了該病毒。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了怪物II(Worm.BugBear.B)病毒。
相關報導
“怪物(Bugbear)”病毒急速傳播 幾十個國家受感染
紐約2002年10月6日訊息,專家稱一個稱作“怪物(Bugbear)”的由電子郵件運載的電腦病毒,繼續在傳播並且是今年進行著最嚴重攻擊的病毒。該病毒能夠讓黑客操縱受到感染的電腦。
稱作W32.Bugbear或I-Worm.Tanatos的這個蠕蟲感染運行微軟視窗作業系統的電腦。它於一周前被發現並且已經在數十個國家傳播。一旦電腦被感染,黑客能夠從這台電腦上竊取和刪除數據信息。承載該病毒的電子郵件的標題可能是:“壞訊息”、“成員資格確認”、“市場更新報告”和“你的禮物”。
怪物病毒該蠕蟲通過運行微軟視窗作業系統電腦中的電子郵件地址簿進行複製,並且能夠使自己成為電子郵件的附屬檔案。它能夠通過網路系統進行傳播,在網際網路上讓黑客截取密碼並且接入到受感染的電腦。據Symantec Corp.稱,這個病毒還企圖繞過反病毒程式和防火牆。該公司已經在它的網站上發布了一個可供下載使用的防範補丁,還將該“怪物(Bugbear)”定性為是一個嚴重的威脅。
芬蘭赫爾辛基市F-Secure Corp.的反病毒研究經理Mikko Hypponen在給美聯社的電子郵件中說,“怪物”目前對全球電腦安全產生了最嚴重的威脅。F-Secure Corp.在它的網站上也發布了一個修補這一問題的軟體補丁。Hypponen說,預計該蠕蟲的傳播會持續到明年,因為許多消費者將不會意識到他們的電腦受到感染。
微軟2001年曾發布一個該問題的補丁“安全公告MS01-027”,但許多用戶目前並沒有在他們的電腦上安裝上這個補丁。
“怪物”病毒變種:專盜密碼及信用卡資料
據沙特海灣新聞報報導,中東地區最近發現了一種名叫W32“怪物B”的專門盜取密碼及信用卡信息資料的病毒。
這種病毒是由世界著名的反病毒公司於6月5號發現的。當染上這種病毒的用戶在網際網路上進入密碼保護的網頁,如線上銀行或其它電子商務網站,他們的密碼及帳戶信息將被秘密地盜走。
怪物病毒一位分析家稱,“怪物B”上帶有1300多家銀行及金融機構的網址。這說明病毒的發明人是將線上銀行當作它的攻擊對象。這與以前以電子信箱為主要對象的病毒有很大的差別。
RAS信息技術有限公司部經理阿克拉姆稱,許多銀行通過網際網路為客戶提供服務,通過擊鍵輸入密碼,這種病毒發明人就是將金融機構將作攻擊對象,這將給線上用戶帶來很大的安全隱患。他說:“我們建議用咖啡館的電腦上網的用戶在進入銀行時一定要倍加小心,一定先確保這些電腦的反病毒軟體已經經過最新更新。”
相關下載
瑞星怪物病毒專殺工具 http://it.rising.com.cn/service/technology/ravbugbear_download.htm
金山毒霸怪物病毒專殺工具 http://download.it168.com/08/0804/7965/7965_4.shtml
