Worm_Bobax.P

Worm_Bobax.P是一種感染Windows是系統的電腦蠕蟲病毒,可通過手工方式清除。

簡介

病毒名稱:Worm_Bobax.P
感染系統:Win9x/WinNT/Win2000/WinXP/Win ME
病毒長度:31,232位元組
病毒特徵:

病毒描述

1、生成檔案
蠕蟲運行後,會在%Windows%目錄下生成一個隨機命名的自身拷貝檔案,同時在目錄%Windows%中的臨時資料夾中生成一個名為~DF7.TMP的動態程式庫(DLL)組件。(其中,%Windows% 為作業系統的安裝目錄,通常為 C:\Windows 或 C:\WINNT)
2、修改註冊表項
蠕蟲會創建註冊表項,使得自身能夠在系統啟動時自動運行,會在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run中添加
{蠕蟲隨機的檔案名稱} = "{該檔案名稱}",如disrr="disrr"
3、通過電子郵件進行傳播
蠕蟲在被感染用戶的系統內搜尋多種擴展名的檔案,找到電子郵件地址,並使用自帶的SMTP向這些地址傳送帶毒的電子郵件。
4、利用Windows漏洞進行網路傳播
該蠕蟲會利用Windows 的LSASS漏洞進行傳播。該漏洞屬於緩衝區溢出漏洞,可以允許執行遠程代碼並使攻擊者獲取受感染系統的控制權。同時,該蠕蟲通過利用受感染系統的漏洞傳送數據包,並在一個特殊的位置創建自身的拷貝。
5、其他功能
該蠕蟲會編輯系統的HOSTS檔案,該檔案里包含有所有IP位址的主機名。目的是阻止被感染系統的用戶訪問一些反病毒網站,以保護蠕蟲自身,形成更大範圍的擴散。
手工清除:
1、重啟後進入安全模式
2、打開任務管理器,找到病毒對應的進程(如disrr.exe),結
束該進程;
3、打開註冊表編輯器,找到註冊表項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run,刪除該項中的鍵值,如
disrr="disrr";
4、清除HOSTS檔案中的病毒鍵。使用文本編輯器(如記事本)打
開如下檔案:
%System%\drivers\etc\HOSTS,刪除HOSTS檔案中有關反病毒
的網址字元串,保存檔案並關閉註冊表編輯器。(其
中,%System%通常為C:\Windows\System
或 C:\WINNT\System32)
5、沒有打LSASS漏洞補丁程式的計算機,立即給系統安裝漏洞
丁。

相關搜尋

熱門詞條

聯絡我們