您现在的位置: 首页 > 病毒库 > 特洛伊木马
Win32.Bugbear
发布时间:2004-12-27 18:42:00
病毒名称:Win32.Bugbear
其它名称:Win32/Bugbear.A, WORM_NATOSTA.A, Worm/Tanatos
病毒属性:特洛伊木马 危害性:低危害 流行程度:
具体介绍:

 Win32.Bugbear是一种用微软Visual C++写成的e-mail蠕虫。

  蠕虫通过感染电子邮件进行传播。用户需要注意的是,附件的名称并不是固定的。被感染的标志就是文件包含有两个扩展名。文件的大小为50,688字节(UPX包)。

  蠕虫循环搜索C盘上包含下列扩展名的文件:

.DBX
.TBB
.EML
.MBX
.NCH
.MMF
INBOX
.ODS

  蠕虫搜索任何与以上扩展名匹配的文件中正确的e-mail地址。这些地址被蠕虫用来发送它自己,并且也发送它自己到邮件里"发信人"的地址。这意味着在那些已经被蠕虫感染的e-mail中发信人也许并不是事实上的发送者。

  这些地址信息和其他一些消息被以加密的形式保存在Windows目录下两个.DAT文件中。这两个文件也有通常的名字,比如:

C:\WINDOWS\kaewue.dat
C:\WINDOWS\uaisoi.dat

  当选择自己的附件的名称时,蠕虫会通过阅读下面的这个注册表健植来搜索"我的文挡":

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal

  如果在"我的文挡"中有文件存在,蠕虫会使用这个文件名来作为自己的附件名称,并且添加下列扩展名之一:

pif
exe
scr

  它只使用已经包含一个"."字符的文件名,所以最后合成的文件名会包含两个扩展名。举个例子,如果一个文件"C:\My Documents\INFO.DOC",蠕虫也许会使用下面的这个附件名称:

"INFO.DOC.scr"

  如果在"我的文档"这个目录里没有合适的文件名,蠕虫会随即选择它自己列表中的一个:

readme
Setup
Card
Docs
news
music
song
data

  蠕虫会再一次的添加上面的三个扩展名之一,比如:

data.pif

  被蠕虫感染的e-mail的题目和内容,也许会来自已感染的系统,也许会由蠕虫本身产生。

  如果是后一种情况,邮件的内容会显示为空。但它并不是完全的空,它包含有HTML代码,用来攻击IE、Outlook和Outlook Express的漏洞。如果成功,邮件附件会在阅读e-mail时自动被打开,而且并不为使用者所知。

  想获取更多关于漏洞的信息,可以访问这里:

http://www.microsoft.com/technet/security/bulletin/ms01-020.asp

  邮件主题可能是下列中的一个:

Greets!
Your News Alert
$150 FREE Bonus!
Your Gift
New bonus in your cash account
new reading
CALL FOR INFORMATION!
25 merchants and rising

  蠕虫会创建几个文件,他们的名字通常为被感染电脑C盘的序列号名称。这意味着这些文件名称在每一台电脑上都会不同。

  它通过下面的这个注册表健值来复制自己到系统目录和"Star up"文件夹:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

  在系统目录下的文件名为4个字符长,而"Star up"中的文件名则为3个字符长。比如:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\daw="jaom.exe"

  蠕虫也同样在系统目录中创建3个扩展名为.DLL的文件,其中只有一个为实际的DLL库文件,另两个为蠕虫所使用的数据文件。真正的那个DLL文件的文件名为7个字符长,比如:

C:\WINDOWS\SYSTEM\zakqlkq.dll

这个DLL文件被用来监测键盘输入。通常被用来窃取密码和一些敏感信息。

另两个文件的文件名为6到7个字符,比如:

C:\WINDOWS\SYSTEM\eamoim.dll
C:\WINDOWS\SYSTEM\pagurgu.dll

  蠕虫会有规则的搜索下面的这些防病毒/防火墙应用程序,如果在内存中发现了,就会停止他们的运行。

ZONEALARM.EXE
WFINDV32.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE  ........等

清除:

kill版本: