您的位置:首页网络冲浪病毒快报 → McAfee将Bugbear蠕虫病毒定为高度风险等级

McAfee将Bugbear蠕虫病毒定为高度风险等级

时间:2004/10/8 16:40:00来源:本站整理作者:蓝点我要评论(0)

新浪科技讯 美国网络联盟公司旗下的McAfee AVERT(反病毒紧急响应小组)近期发现一种复杂的蠕虫病毒W32/Bugbear.b@MM,并将其定为高度风险等级。该病毒通过多种方式来传播,该病毒有72,192个字节。

病毒特征

 


该病毒极其复杂,包括许多不同的特征:

 

1.大量的邮件(Mass-mailer)

 

2.通过网络共享进行传播(Network Share Propagator)

 

3.键盘记录(Keylogger)

 

4.远程木马(Remote Access Trojan)

 

5.多形态寄生文件感染(Polymorphic Parasitic File Infector)

 

6.中止部分安全软件(Security Software Terminator)

 

大规模邮件传播

 

该蠕虫病毒自发到本地系统所发现的邮件地址。它可以进入“收件人”和“发件人”区域。因此,发件人地址被骗或伪造,而非感染用户的直接表示。Internet帐户管理器缺省的SMTP服务器被用来发送信息:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager。

 

病毒代码包含邮件主题字符串和附件文件。然而,该病毒的原始变种使用未在当前病毒里出现的信息。文件名可能从在注册表里出现的个人文件夹里获取:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

 

Explorer\Shell Folders\Personal

 

通常,附件文件名包含两个扩展名(比如ie.doc.pif)。外出的邮件利用了没有安装补丁程序Microsoft IE5.01和IE5.5的安全漏洞(Incorrent MIME Header Can Cause IE to Execute E-mail Attachment vulnerability(MS01-020),利用这个特征,安装了McAfee网关防病毒产品(特征代码升级到4213DATs以上)可以检测到这个病毒,并且认为它是Exploit_MIME.gen或Exploit-MIME.gen.exe。

 

病毒安装

 

该蠕虫病毒使用下列随机文件复制自己到START UP文件夹里:

 

Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE

 

2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE

 

网络共享传播

 

该蠕虫病毒试图把自己复制到网络上其它机器的Startup文件夹里。

 

键盘记录

 

该蠕虫病毒安装了一个用来捕获击键的DLL文件。DLL的名字是随机的,.DLL前包含7个字符并存放于SYSTEM (%SysDir%)目录中。另外两个文件使用同样的文件名也存在这里。较短的随机.dat文件存放于WINDOWS (%WinDir%)目录。

 

远程木马

 

该蠕虫病毒能监听TCP 1080端口,这将允许攻击者获得系统访问的权限。

 

寄生文件感染

 

该蠕虫病毒试图感染指定的可执行文件,它重新从注册表里找回程序文件目录路径:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir

 

中止安全软件的运行

 

病毒会中止下面安全软件的运行:

 

ACKWIN32.exe

 

DVP95_0.exe

 

ECENGINE.exe

 

FINDVIRU.exe

 

ICLOADNT.exe

 

N32SCANW.exe

 

NAVAPW32.exe

 

NAVLU32.exe

 

NAVNT.exe

 

NAVW32.exe

 

NAVWNT.exe

 

NVC95.exe

 

PCFWALLICON.exe

 

SPHINX.exe

 

SWEEP95.exe

 

TBSCAN.exe

 

VSECOMR.exe

 

WFINDV32.exe

 

ZONEALARM.exe

 

症状

 

奇怪的EXE文件出现在STARTUP文件夹中

 

系统监听TCP Port 1080

 

清除方法

 

利用下列DAT文件来清除该病毒:

 

EXTRA.DAT–必须放于有CLEAN.DAT、NAMES.DAT、和SCAN.DAT的同一目录中(比如,C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx)

 

或者

 

SUPER EXTRA.DAT - EXTRA.DAT自我安装器

 

用户可以从以下地址下载DAT文件:a64.g.akamai.net/7/64/2015/2003-06-05-10/download.nai.com/products/mcafee-avert/100358-b.zip

相关阅读 Mac和Windows哪个好 windows和mac os对比介绍Win10预览版怎么升级 Win10预览版升级方法厂商不再预装Win7或8.1系统,驱动人生帮您快速升级Mac移动硬盘安装win8 Mac将win装在移动硬盘使用教程windows10xboxone串流简单教程Windows Hello怎么用 Windows Hello使用设置教程win10怎么关闭自动更新 win10如何关闭自动更新Mac系统如何远程桌面到Windows系统

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 火球病毒是什么意思 火360保险箱如何保护程序 安卓手机病毒Android.KungFu来袭 用户小心流lpk.dll是什么病毒_lpk.dll病毒专杀方法BMW病毒技术深入分析“图片大盗”通过聊天传播 专盗网游账号

人气排行 eset nod32序列号 nod32升级id 2009年8月28lpk.dll是什么病毒_lpk.dll病毒专杀方法最厉害病毒排行榜职业盗号的基本流程试图连接本机的IP端口,该操作被拒绝VBS病毒制造机v1.0 分析报告360保险箱如何保护程序和游戏账号中搜.桌面传媒Deskipn专杀彻底删除办法