Worm.BugBear.B

Worm.BugBear.B,該病毒於2003年6月6日被瑞星全球反病毒監測網截獲。該病毒集系統、黑客、後門、蠕蟲等多種病毒特性與一身,病毒運行時會釋放三個病毒體到系統目錄,偷取用戶鍵盤信息,監聽連線埠開後門,並且感染檔案,在感染的過程中破壞檔案結構,使一些反病毒軟體無法正常清除。另外該病毒還會感染區域網路中的已分享資料夾,並通過EMAIL地址向外傳送大量病毒郵件,造成網路癱瘓等嚴重後果。

基本信息

關鍵字: Worm.BugBear.B;怪物II

適用作業系統:Windows 作業系統

適用作業系統補丁版本:全部補丁適用

如何清除怪物II(Worm.BugBear.B)病毒?

病毒評估

感染對象:系統檔案/網路

依賴系統: WIN9X//NT/2000/XP

病毒特徵

【病毒的發現與清除】

此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:

1. 該病毒由於感染系統目錄,釋放的病毒檔案名稱是隨機的,因此可以查看一下註冊表中的: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中是否有可疑的鍵值。

2. 病毒運行時會在本地系統監聽1080連線埠,等待控制台端的連入,形成一個病毒後門。該後門會暴露系統的安全信息,並且可以執行一些簡單的控制命令,可以用一些連線埠監聽工具查看1080連線埠。

3. 病毒會每隔20秒就查找一下記憶體,當發現有下列反病毒軟體或防火牆的程式運行時,就會幹掉這些程式,使它們失效,以下是病毒可以殺掉的進程:

PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。

如果用戶安裝了這些軟體,並無故出錯,則很可能是中了該病毒。

4. 病毒會試圖從後綴後為.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的檔案中搜出mail地址進行郵件傳播,郵件標題可能為:

Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift! 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。

病毒郵件的附屬檔案名可能為:

readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。

病毒郵件附屬檔案的擴展名可能為:

.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg

,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。

如果用戶收到了有以上內容的信件,則很可能是感染了該病毒。

用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了怪物II(Worm.BugBear.B)病毒。為避免用戶遭受損失,瑞星公司已於截獲此病毒當晚就進行了緊急升級,瑞星防毒軟體、瑞星線上防毒、瑞星防毒軟體“下載版”,這三款產品15.39版已可清除此病毒,目前瑞星用戶只需及時升級手中的軟體即可徹底攔截此病毒。

對於該病毒對用戶系統造成的影響,瑞星公司已經推出免費註冊表修復工具來進行系統恢復。

相關詞條

相關搜尋

熱門詞條

聯絡我們