病毒名称:SCO炸弹变种B(Worm.Novarg.B)
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:邮件
依赖系统: WINDOWS 9X/NT/2000/XP
病毒介绍:
1月29日,瑞星全球反病毒监测网截获了“SCO炸弹”(Worm.Novarg)病毒的一个新变种,并命名为“SCO炸弹变种B”(Worm.Novarg.b)病毒。据瑞星反病毒工程师介绍,与“SCO炸弹”不同,该病毒已经把攻击的矛头直接指向微软,将对微软网站发动拒绝服务式攻击。瑞星技术服务部门27日通过国内病毒监测网监测到1000多封携带该病毒的用户邮件,而1月29日已经上升至4000多封,并有急剧增长的趋势。
据瑞星反病毒工程师分析,该病毒变种的技术特性与“SCO炸弹相似”,利用病毒邮件的大量传播感染用户电脑,把感染的电脑当作代理服务器针对特定网址发送拒绝服务式攻击,这种攻击方式目前没有有效的预防措施。和“SCO炸弹”一样,该病毒变种不会感染以EDU结尾的邮件地址,尽管病毒编写者的主要目的是为了攻击微软和SCO公司,但由于带毒邮件的大量传播会消耗网络资源,并对系统设置后门,对普通用户的正常使用造成很大安全风险。
病毒的特性、发现与清除:
1.该病毒是蠕虫型病毒,采用upx压缩,病毒体大小为29,184字节。
2.病毒运行时会释放后门程序为:%System%\Ctfmon.dll,该后门程序使用以下TCP端口: 80、 1080、 3128、8080、10080,该后门可以下载或执行任何有害代码。可将该病毒文件直接删除。
注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。
4. 病毒运行时会将自身复制为:%System%\Explorer.exe,目的是冒充系统的资源管理器,但系统的资源管理器是在%Windir%目录,而不是在%System%目录,广大计算机用户要注意分辨。可将该病毒文件直接删除。
注意::%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。
5. 病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行,则会立刻将该程序关闭,目的是防止用户查看内存中的病毒进程。
6. 病毒运行时会修改注册表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒键值:"(Default)" = "%System%\ctfmon.dll",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。(待续)
|