概述
病毒別名:Net-Worm.Win32.Bobic.b【AVP】
處理時間:
威脅級別:★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
特性
這是一個通過電子郵件傳播的蠕蟲病毒。該病毒會將系統的安全級別降到最低,禁止用戶訪問某些著名的安全網站,從Windows地址薄、Windows Messenger 聯繫人列表和.htm、.txt 、.dbx三種檔案中收集郵件地址,再將病毒做為附屬檔案傳送給這些郵件接收者。在收集郵件地址的時候,病毒會自動跳過帶有某些字眼的地址,以防止被反病毒廠商截獲。病毒郵件聲稱附屬檔案無毒,誘騙用戶去打開附屬檔案。該病毒還會自動連線到預先設定好的HTTP伺服器進行版本更新。
1)將自己拷貝到%System%\【隨機字母】.exe
2)在註冊表中添加啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"【隨機字母】"="%System%\【隨機字母】.exe"
3)釋放一個【隨機名字】.tmp的臨時檔案到%Temp%目錄下,該檔案其實是一個.dll檔案,是病毒的主要功能模組;病毒會將該.dll檔案注入到explorer.exe的進程中,並終止調用自己的進程【隨機字母】.exe。
4)將以下內容添加到%System%\drivers\hosts檔案中,禁止用戶訪問這些安全網站:
255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
5)通過修改註冊表來降低系統的安全級別:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
"AntivirusDisableNotify"="1"
"FirewallDisableNotify"="1"
"FirewallOverride"="1"
"UpdatesDisableNotify"="1"
6)利用Windows系統的LSASS緩衝區溢出漏洞(MS04-011)來傳播到沒有打該漏洞補丁的機器上。
7)從Windows地址薄、Windows Messenger 聯繫人列表和以下三種檔案中收集郵件地址:
.htm
.txt
.dbx
跳過帶有以下串的郵件地址:
ogle
yaho
help
admi
ter@
micr
msn.
hotm
supp
yman
viru
tren
secu
.mil
urhq
pand
afee
soph
kasp
.gov
nort
8)郵件可能形式:
主題:
Saddam Hussein - Attempted Escape, Shot dead
正文:
Attached some pics that i found
主題:
Osama Bin Laden Captured.
正文:
Attached some pics that i found
主題:
Hey,
正文:
Remember this?
主題:
Testing
正文:
Secret!
主題:
Hey,
正文:
I was going through my album, and look what I found..
主題:
Hello,
正文:
Long time! Check this out!
主題:
Hey,
正文:
Check this out :-)
郵件中可能包含以下信息:
+++ Attachment: No Virus found
+++ You are protected
+++ <一個偽造的URL>
附屬檔案名:
Cool
pics
funny
bush
joke
secret
附屬檔案擴展名:
.pif
.src
.exe
.zip
8)病毒可能會從以下站點:
download.yahoo.com
ftp.scarlet.be
ftp.newaol.com
g.msn.com
下載並沒有惡意的檔案:
msgr6suite.exe
Firefox Setup 1.0.exe
Install_AIM.exe
SETUPDL.EXE
9)連線到幾個預先設定好的HTTP伺服器來更新自己。
