Worm.Win32.VB.zbm

“VB蠕虫变种ZBM（Worm.Win32.VB.zbm）”病毒：警惕程度★★★，蠕虫病毒，通过U盘等可移动存储设备传播，依赖系统：Windows NT/2000/XP/2003。

这是一个蠕虫病毒。病毒运行后会把自身复制到系统目录下，保存文件名为“bsmain.exe”。同时在注册表里创建该病毒的启动项，实现随系统自启动。它又修改了Txt文件关联方式，用户打开文本文件时会自动运行该病毒。此外，病毒利用映像劫持技术，使得用户运行主流杀毒软件和安全工具时运行该病毒。病毒感染系统分区以外分区的所有文件，破坏文件的完整性，可能造成用户的重要文件和数据丢失。之后病毒会自动卸载瑞星杀毒软件，使其无法正常使用，并且把自身文件的图标和版本信息修改的跟瑞星类似，欺骗用户运行病毒文件。

危险等级：★★★

病毒名称：Worm.Win32.VB.zbm

截获时间：2008.03.04

入库版本：20.34.11

类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

清除难度：困难

破坏力：低

这是一个用Virtual Basic语言编写的一个蠕虫病毒。

该病毒运行后,定位到瑞星杀毒软件的安装目录,运行Setup.exe程序,利用鼠标模拟点击将瑞星杀毒软件卸载.

病毒将自身更名为bsmain.exe复制到系统%SYSTEM32%目录中.并在注册表当中的HKLMSoftwareMicrosoftWindowsCurrentVersionRun里新建一个名为"bsmain.exe"的键值,内容为"%SYSTEM32%smain.exe",接着修改system.ini文件中的[Boot]项里添加"SHELL" explorer.exe %SYSTEM32%smain.exe.修改以上两个地方实际是为实现病毒的开机自启动．接着修改txtfileshellopencommand的默认键值为"%SYSTEM32%smian.exe %1 *",修改后当用户打开后缀为txt的文件时,就会启动该病毒.病毒还会修改文件的映像劫持.在"SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options"子键里的如下各项：

AppSvc32.exe

avgrssvc.exe

ccSvcHst.exe

EGHOST.exe

IceSword.exe

KASTask.exe

AV32.exe

KAVDX.exe

KAVPF.exe

KMFilter.exe

KPfwSvc.exe

KVMonXP.kxp

KvReport.kxp

KVSrvXP.exe

kvupload.exe

KvXP.kxp

KvXP_1.kxp

mcconsol.exe

Navapw32.exe

PFWLiveUpdate.exe

QQDoctor.exe

Rav.exe

RavTask.exe

rfwmain.exe

RsAgent.exe

Rsaupd.exe

rstrui.exe

SmartUp.exe

TrojanDetector.exe

TrojDie.kxp

UmxAgent.exe

UmxCfg.exe

upiea.exe

USBCleaner.exe

在以上各键值中添加"Debugger" = "%SYSTEM32%smain.exe".

病毒会感染除去系统分区的其它分区的所有文件,被感染的文件会被修改成病毒文件,而且不能还原.

该病毒的图标和版本信息伪装成瑞星杀毒软件的图标和版本信息,这样对用户有一定的欺骗作用,使用户轻易上当并运行该病毒.有一定的危害力。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.34.11版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

• ·银禧炮台
• ·进口开证
• ·小狗胰脏
• ·梦比优斯奥特曼外传
• ·Trojan.Clicker.Win32.Po
• ·卵细胞
• ·玩具安全标准
• ·触姓
• ·陈宏宽
• ·钟永波