Worm_Bobax.P

病毒名称：Worm_Bobax.P

感染系统：Win9x/WinNT/Win2000/WinXP/Win ME

病毒长度：31,232字节

病毒特征：

1、生成文件

蠕虫运行后，会在%Windows%目录下生成一个随机命名的自身拷贝文件，同时在目录%Windows%中的临时文件夹中生成一个名为~DF7.TMP的动态链接库（DLL）组件。（其中，%Windows% 为操作系统的安装目录，通常为 C:Windows 或 C:WINNT）

2、修改注册表项

蠕虫会创建注册表项，使得自身能够在系统启动时自动运行，会在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun中添加

{蠕虫随机的文件名} = "{该文件名}"，如disrr="disrr"

3、通过电子邮件进行传播

蠕虫在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用自带的SMTP向这些地址发送带毒的电子邮件。

4、利用Windows漏洞进行网络传播

该蠕虫会利用Windows 的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞，可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时，该蠕虫通过利用受感染系统的漏洞发送数据包，并在一个特殊的位置创建自身的拷贝。

5、其他功能

该蠕虫会编辑系统的HOSTS文件，该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站，以保护蠕虫自身，形成更大范围的扩散。

手工清除：

1、重启后进入安全模式；

2、打开任务管理器，找到病毒对应的进程（如disrr.exe），结

束该进程；

3、打开注册表编辑器，找到注册表项

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun，删除该项中的键值，如

disrr="disrr"；

4、清除HOSTS文件中的病毒键。使用文本编辑器（如记事本）打

开如下文件：

%System%driversetcHOSTS,删除HOSTS文件中有关反病毒

的网址字符串，保存文件并关闭注册表编辑器。（其

中，%System%通常为C:WindowsSystem

或 C:WINNTSystem32）

5、没有打LSASS漏洞补丁程序的计算机，立即给系统安装漏洞补

丁。