Net-Worm.Win32.Bobic.hn

Net-Worm.Win32.Bobic.hn蠕虫程序

蠕虫程序 Net-Worm.Win32.Bobic.hn

Net-Worm.Win32.Bobic.hn

病毒症状

该病毒是一个使用VC++ 6.0编写的蠕虫程序，长度为101,623 字节，图标为Windows默认可执行文件图标，病毒.扩展名为exe，传播途径主要为邮件传播、网络传播。

病毒分析

该蠕虫程序激活后，在%temp%文件夹下生成~3.TMP.EXE、~4.TMP.EXE等文件，在%systemroot%system32下生成vftztz.exe、winamp.exe、algs.exe等文件；修改注册表，在HKLM下的RUN里新建两个子项，分别指向algs.exe和vftztz.exe文件，以达到病毒能随系统启动的目的；修改注册表禁用windows防火墙；盗用用户计算机.上的Outlook Express，通过邮件发送以达到更大的传播范围；修改用.户计算机中%systemroot%system32driversetc下的host文件，使得用户无法访问部分杀毒软件公司的网页，无法正常更新杀毒软件。

病毒添加启动项：

项：HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

键值：vgdtJa`Ysmzmjzp

指向文件：%systemroot%system32vftztz.exe

项：HKLMSOFTW.AREMicrosoftWindowsCurrentVersionRun

键值：Application Layer Gateway Service

指向文件：%systemroot%system32 algs.exe

病毒修改的注册表项：

项：HKLMSYSTEMCurrentControlSetServicesSharedAccess

键值：Start

数值数据：00000002

项：HKLMSYSTEMCurrentControlSetServicesSharedAccess

ParametersFirewallPolicyDomainProfile

键值：EnableFirewall

数值数据：00000000

项：HKLMSYSTEMCurrentControlSetServicesSharedAccess

ParametersFirewallPolicyDomainProfile

键值：DoNotAllowExceptions

数值数据：00000000

感染对象

Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003

传播途径

局域网传播、可移动存储

安全提示

已安装微点主动防御软件的用户，无论您是否已经升级.到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删.除处理

如果您已经将微点主动防御软件升级到最新版本，微点将报警提.示您发现“Net-Worm.Win32.Bobic.hn”，请直接选择删除。

使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该.病毒的特殊性，会导致某些杀毒软件无法正常使用，如果您的杀毒软件已经无法正常使用，您也可以尝试安装微点解决。