首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 天气 答疑 导航
新浪首页 > 科技时代 > 软件 > 正文

McAfee将Bugbear蠕虫病毒定为高度风险等级

http://www.sina.com.cn 2003年06月06日 09:02 新浪科技

  新浪科技讯 美国网络联盟公司旗下的McAfee AVERT(反病毒紧急响应小组)近期发现一种复杂的蠕虫病毒W32/Bugbear.b@MM,并将其定为高度风险等级。该病毒通过多种方式来传播,该病毒有72,192个字节。

  病毒特征

  该病毒极其复杂,包括许多不同的特征:

  1.大量的邮件群发(Mass-mailer)

  2.通过网络共享进行传播(Network Share Propagator)

  3.键盘记录(Keylogger)

  4.远程木马(Remote Access Trojan)

  5.多形态寄生文件感染(Polymorphic Parasitic File Infector)

  6.中止部分安全软件(Security Software Terminator)

  大规模邮件传播

  该蠕虫病毒自发到本地系统所发现的邮件地址。它可以进入“收件人”和“发件人”区域。因此,发件人地址被骗或伪造,而非感染用户的直接表示。Internet帐户管理器缺省的SMTP服务器被用来发送信息:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager。

  病毒代码包含邮件主题字符串和附件文件。然而,该病毒的原始变种使用未在当前病毒里出现的信息。文件名可能从在注册表里出现的个人文件夹里获取:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

  Explorer\Shell Folders\Personal

  通常,附件文件名包含两个扩展名(比如ie.doc.pif)。外出的邮件利用了没有安装补丁程序Microsoft IE5.01和IE5.5的安全漏洞(Incorrent MIME Header Can Cause IE to Execute E-mail Attachment vulnerability(MS01-020),利用这个特征,安装了McAfee网关防病毒产品(特征代码升级到4213DATs以上)可以检测到这个病毒,并且认为它是Exploit_MIME.gen或Exploit-MIME.gen.exe。

  病毒安装

  该蠕虫病毒使用下列随机文件复制自己到START UP文件夹里:

  Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE

  2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE

  网络共享传播

  该蠕虫病毒试图把自己复制到网络上其它机器的Startup文件夹里。

  键盘记录

  该蠕虫病毒安装了一个用来捕获击键的DLL文件。DLL的名字是随机的,.DLL前包含7个字符并存放于SYSTEM (%SysDir%)目录中。另外两个文件使用同样的文件名也存在这里。较短的随机.dat文件存放于WINDOWS (%WinDir%)目录。

  远程木马

  该蠕虫病毒能监听TCP 1080端口,这将允许攻击者获得系统访问的权限。

  寄生文件感染

  该蠕虫病毒试图感染指定的可执行文件,它重新从注册表里找回程序文件目录路径:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir

  中止安全软件的运行

  病毒会中止下面安全软件的运行:

  ACKWIN32.exe

  DVP95_0.exe

  ECENGINE.exe

  FINDVIRU.exe

  ICLOADNT.exe

  N32SCANW.exe

  NAVAPW32.exe

  NAVLU32.exe

  NAVNT.exe

  NAVW32.exe

  NAVWNT.exe

  NVC95.exe

  PCFWALLICON.exe

  SPHINX.exe

  SWEEP95.exe

  TBSCAN.exe

  VSECOMR.exe

  WFINDV32.exe

  ZONEALARM.exe

  症状

  奇怪的EXE文件出现在STARTUP文件夹中

  系统监听TCP Port 1080

  清除方法

  利用下列DAT文件来清除该病毒:

  EXTRA.DAT–必须放于有CLEAN.DAT、NAMES.DAT、和SCAN.DAT的同一目录中(比如,C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx)

  或者

  SUPER EXTRA.DAT - EXTRA.DAT自我安装器

  用户可以从以下地址下载DAT文件:a64.g.akamai.net/7/64/2015/2003-06-05-10/download.nai.com/products/mcafee-avert/100358-b.zip


评论】【应用软件】【推荐】【 】【打印】【关闭

  巨额大奖+情趣笑话 订笑话短信送彩屏手机!
  新浪邮箱雄踞市场第一 真诚回馈用户全面扩容
  在家学新东方英语 注会注册评估师 考研英语
  无数人梦寐以求的境界,亲密接触,激烈搏杀,包你爽上“天堂”

新 闻 查 询
关键词一
关键词二


search 无线上网 防晒 太阳镜
 

新浪精彩短信
激情男女宝典
性爱高手完美爱人赶快发送S到8888激情加入吧!
非常笑话
保你天天开心超爽至极!现在订阅更有机会赢取彩屏手机大奖!
图片
铃声
·[周华健] 别傻了
·[卢巧音] 三角志
·[小 安] 浪费爱情
铃声搜索



痛风不再是终身病

专 题 活 动


企业服务
患了皮肤病去哪里
中医治疗各种肿瘤

更多商情发布>>

分 类 信 息
:优质中小学教育
   十万大奖抓典型!
   春季旅游江苏行
华美启动"彩光"嫩肤
:全国特价酒店预订
分类信息刊登热线>>

 发表评论:  匿名发表  笔名:   密码:
狂野奔放的性爱旅行
爱意缠绵的销魂表现
加入缤纷下载,数万精彩图片铃声不限量任你下载,每条仅0.1元,让你的手机又酷又炫!
成人世界的快乐宝典,情趣演绎生活性趣
两性学堂帮你和爱侣打开性爱心门,探索神秘的爱欲花园。
每日2条,28元/月
原色地带--普通图片铃声,5元包月下载。      
炫彩地带--和弦铃声彩图,10元包月下载      

开心超爽至极,现在订阅更有机会赢取彩屏手机大奖!



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2003 SINA Inc. All Rights Reserved

版权所有 新浪网