McAfee将Bugbear蠕虫病毒定为高度风险等级

下载首页

网络学院

最近更新

ASP技术 PHP技术 JSP技术 .Net专区数据库网站建设服务器图形图像程序设计网络安全冲浪宝典软件教学认证考试特别专栏

ASP代码	.NET代码	PHP代码	CGI&Perl	Java代码	Flash代码	C/C++/VC	PowerBuilder	Delphi	VisualBasic	论坛相关
常用软件	汇编	开发工具	控件库	服务器类	书籍教程	网页素材	VisualFoxpro	字体下载	其它源码	商业注册

赞助广告

当前位置：网络学院 → JSP技术 → Java技巧及代码 → McAfee将Bugbear蠕虫病毒定为高度风险等级

McAfee将Bugbear蠕虫病毒定为高度风险等级

日期：2003年6月6日作者：新浪科技人气： 查看:[大字体中字体小字体]

　　新浪科技讯　美国网络联盟公司旗下的McAfee AVERT(反病毒紧急响应小组)近期发现一种复杂的蠕虫病毒W32/Bugbear.b@MM，并将其定为高度风险等级。该病毒通过多种方式来传播，该病毒有72,192个字节。

　　病毒特征

　　该病毒极其复杂，包括许多不同的特征：

　　1.大量的邮件群发(Mass-mailer)

　　2.通过网络共享进行传播(Network Share Propagator)

　　3.键盘记录(Keylogger)

　　4.远程木马(Remote Access Trojan)

　　5.多形态寄生文件感染(Polymorphic Parasitic File Infector)

　　6.中止部分安全软件(Security Software Terminator)

　　大规模邮件传播

　　该蠕虫病毒自发到本地系统所发现的邮件地址。它可以进入“收件人”和“发件人”区域。因此，发件人地址被骗或伪造，而非感染用户的直接表示。Internet帐户管理器缺省的SMTP服务器被用来发送信息：HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Account Manager。

　　病毒代码包含邮件主题字符串和附件文件。然而，该病毒的原始变种使用未在当前病毒里出现的信息。文件名可能从在注册表里出现的个人文件夹里获取：

　　HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼

　　Explorer＼Shell Folders＼Personal

　　通常，附件文件名包含两个扩展名(比如ie.doc.pif)。外出的邮件利用了没有安装补丁程序Microsoft IE5.01和IE5.5的安全漏洞(Incorrent MIME Header Can Cause IE to Execute E-mail Attachment vulnerability(MS01-020)，利用这个特征，安装了McAfee网关防病毒产品(特征代码升级到4213DATs以上)可以检测到这个病毒，并且认为它是Exploit_MIME.gen或Exploit-MIME.gen.exe。

　　病毒安装

　　该蠕虫病毒使用下列随机文件复制自己到START UP文件夹里：

　　Win98 : C:＼WINDOWS＼Start Menu＼Programs＼Startup＼BSFS.EXE

　　2k Pro : C:＼Documents and Settings＼(username)＼Start Menu＼Programs＼Startup＼BSFS.EXE

　　网络共享传播

　　该蠕虫病毒试图把自己复制到网络上其它机器的Startup文件夹里。

　　键盘记录

　　该蠕虫病毒安装了一个用来捕获击键的DLL文件。DLL的名字是随机的，.DLL前包含7个字符并存放于SYSTEM (%SysDir%)目录中。另外两个文件使用同样的文件名也存在这里。较短的随机.dat文件存放于WINDOWS (%WinDir%)目录。

　　远程木马

　　该蠕虫病毒能监听TCP 1080端口，这将允许攻击者获得系统访问的权限。

　　寄生文件感染

　　该蠕虫病毒试图感染指定的可执行文件，它重新从注册表里找回程序文件目录路径：

　　HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼ProgramFilesDir

　　中止安全软件的运行

　　病毒会中止下面安全软件的运行：

　　ACKWIN32.exe

　　DVP95_0.exe

　　ECENGINE.exe

　　FINDVIRU.exe

　　ICLOADNT.exe

　　N32SCANW.exe

　　NAVAPW32.exe

　　NAVLU32.exe

　　NAVNT.exe

　　NAVW32.exe

　　NAVWNT.exe

　　NVC95.exe

　　PCFWALLICON.exe

　　SPHINX.exe

　　SWEEP95.exe

　　TBSCAN.exe

　　VSECOMR.exe

　　WFINDV32.exe

　　ZONEALARM.exe

　　症状

　　奇怪的EXE文件出现在STARTUP文件夹中

　　系统监听TCP Port 1080

　　清除方法

　　利用下列DAT文件来清除该病毒：

　　EXTRA.DAT–必须放于有CLEAN.DAT、NAMES.DAT、和SCAN.DAT的同一目录中(比如，C:＼Program Files＼Common Files＼Network Associates＼VirusScan Engine＼4.0.xx)

　　或者

　　SUPER EXTRA.DAT - EXTRA.DAT自我安装器

　　用户可以从以下地址下载DAT文件：a64.g.akamai.net/7/64/2015/2003-06-05-10/download.nai.com/products/mcafee-avert/100358-b.zip

（出处：新浪科技）

相关文章：

·变种蠕虫Bugbear.B卷土重来近千台电脑受害

相关软件：


	特别推荐


	热点TOP10