Win32.Bugbear
病毒名称:Win32.Bugbear
其它名称:Win32/Bugbear.A, WORM_NATOSTA.A, Worm/Tanatos
病毒属性:特洛伊木马 危害性:低危害 流行程度:低
具体介绍:
Win32.Bugbear是一种用微软Visual C++写成的e-mail蠕虫。
蠕虫通过感染电子邮件进行传播。用户需要注意的是,附件的名称并不是固定的。被感染的标志就是文件包含有两个扩展名。文件的大小为50,688字节(UPX包)。
蠕虫循环搜索C盘上包含下列扩展名的文件:
.DBX
.TBB
.EML
.MBX
.NCH
.MMF
INBOX
.ODS
蠕虫搜索任何与以上扩展名匹配的文件中正确的e-mail地址。这些地址被蠕虫用来发送它自己,并且也发送它自己到邮件里"发信人"的地址。这意味着在那些已经被蠕虫感染的e-mail中发信人也许并不是事实上的发送者。
这些地址信息和其他一些消息被以加密的形式保存在Windows目录下两个.DAT文件中。这两个文件也有通常的名字,比如:
C:WINDOWSkaewue.dat
C:WINDOWSuaisoi.dat
当选择自己的附件的名称时,蠕虫会通过阅读下面的这个注册表健植来搜索"我的文挡":
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal
如果在"我的文挡"中有文件存在,蠕虫会使用这个文件名来作为自己的附件名称,并且添加下列扩展名之一:
pif
exe
scr
它只使用已经包含一个"."字符的文件名,所以最后合成的文件名会包含两个扩展名。举个例子,如果一个文件"C:My DocumentsINFO.DOC",蠕虫也许会使用下面的这个附件名称:
"INFO.DOC.scr"
如果在"我的文档"这个目录里没有合适的文件名,蠕虫会随即选择它自己列表中的一个:
readme
Setup
Card
Docs
news
music
song
data
蠕虫会再一次的添加上面的三个扩展名之一,比如:
data.pif
被蠕虫感染的e-mail的题目和内容,也许会来自已感染的系统,也许会由蠕虫本身产生。
如果是后一种情况,邮件的内容会显示为空。但它并不是完全的空,它包含有HTML代码,用来攻击IE、Outlook和Outlook Express的漏洞。如果成功,邮件附件会在阅读e-mail时自动被打开,而且并不为使用者所知。
想获取更多关于漏洞的信息,可以访问这里:
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
邮件主题可能是下列中的一个:
Greets!
Your News Alert
0 FREE Bonus!
Your Gift
New bonus in your cash account
new reading
CALL FOR INFORMATION!
25 merchants and rising
蠕虫会创建几个文件,他们的名字通常为被感染电脑C盘的序列号名称。这意味着这些文件名称在每一台电脑上都会不同。
它通过下面的这个注册表健值来复制自己到系统目录和"Star up"文件夹:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersStartup
在系统目录下的文件名为4个字符长,而"Star up"中的文件名则为3个字符长。比如:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOncedaw="jaom.exe"
蠕虫也同样在系统目录中创建3个扩展名为.DLL的文件,其中只有一个为实际的DLL库文件,另两个为蠕虫所使用的数据文件。真正的那个DLL文件的文件名为7个字符长,比如:
C:WINDOWSSYSTEMzakqlkq.dll
这个DLL文件被用来监测键盘输入。通常被用来窃取密码和一些敏感信息。
另两个文件的文件名为6到7个字符,比如:
C:WINDOWSSYSTEMeamoim.dll
C:WINDOWSSYSTEMpagurgu.dll
蠕虫会有规则的搜索下面的这些防病毒/防火墙应用程序,如果在内存中发现了,就会停止他们的运行。
ZONEALARM.EXE
WFINDV32.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE........等