郵件特徵
本.拉登病毒的郵件具有如下特徵:1、通過搜尋ICQ網站來取得郵件地址,使用匿名的方式採用SMTP協定傳送帶毒郵件。2、該病毒利用了Outlook的MIME漏洞。當我們預覽含有病毒郵件時,病毒郵件體內腳本w代碼在將被執行,如果計算機上所使用的Outlook瀏覽器存在該漏洞,計算機將被感染。3、郵件帶有一份名為BINLADEN_BRASIL.EXE的附屬檔案,該病毒的附屬檔案實際上是一個可執行的檔案,但是該蠕蟲設定成audio/x-wav的檔案類型,因此當Outlook在收到該信件後,若Outlook存在漏洞的話,Outlook會認為該附屬檔案是一個聲音檔案而直接執行它。
病毒感染
本.拉登病毒感染部分的特徵:它有兩種感染方式,第一種感染方式不變形,但把檔案的入口地址改為0,修改MZ部分檔案頭,在“MZ”標記後面加上十六進制的EB 4A,它跟“MZ”一起,可以組成如下指令:DEC EBP POP EDX JMP 40004E (註:此為相對跳轉,是要跳到MZ頭偏移4E出執行,如果檔案基地址不是400000H,反彙編出來就不是40004E)而在MZ頭部偏移4E的位置,病毒還會加上一些代碼,使之能跳到後面的病毒體中去運行,該後部分病毒體未加密,未變形。第二種感染方式不修改MZ頭,但使用了一種特殊的變形技術,它將所有的病毒體代碼都變換生成變形後的代碼,使人無法靜態分析。病毒的變形代碼將解碼後的代碼放入堆疊,最後跳入堆疊運行!實際上,在堆疊中的病毒代碼和第一種感染方式的後部分代碼是一樣的。另外,病毒需要在檔案中找一些指令(558BEC83EC),然後,病毒修改它為相對的CALL調用,以便自己獲得控制權。無論第一種感染方式還是第二種感染方式,病毒都會檢查檔案的信息:查詢檔案長度,如果小於24576位元組或者(檔案長度-7)/101能整除,就不進行感染。另外,如果檔案的節表不正常,病毒也不進行感染。注意,由於病毒感染檔案時,沒有對齊檔案,所以感染後的檔案在WinNT、Win2K、WinXP下很可能不能運行(系統提示非法的Win32程式),當然,經過防毒後,檔案可以恢復正常。瑞星防毒軟體、金山毒霸等線上升級包已加入對此病毒的查殺,以防本.拉登病毒侵襲,請您升級到最新版。
