蠕虫出现新变种 阻止用户访问反病毒网站 | ||||||||
---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2005年06月12日11:39 新华网 | ||||||||
新华网天津6月12日电(梁宏、张建新)国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了蠕虫Bobax的一个新变种Worm_Bobax.P。 据介绍,这个是一个常驻内存型的蠕虫,它利用电子邮件进行传播。该蠕虫还可以利用Windows的LSASS漏洞进行传播,同时会修改系统的HOSTS文件,阻止用户访问某些反病毒网站。
蠕虫具体特征如下: 病毒名称:Worm_Bobax.P 感染系统:Win9x/WinNT/Win2000/WinXP/Win ME 病毒特征: 1、生成文件 蠕虫运行后,会在%Windows%目录下生成一个随机命名的自身拷贝文件,同时在目录%Windows%中的临时文件夹中生成一个名为~DF7.TMP的动态链接库(DLL)组件。(其中,%Windows%为操作系统的安装目录,通常为C:\Windows或 C:\WINNT) 2、修改注册表项 蠕虫会创建注册表项,使得自身能够在系统启动时自动运行,会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加蠕虫随机的文件名=“该文件名”,如disrr=“disrr”。 3、通过电子邮件进行传播 蠕虫在被感染用户的系统内搜索多种扩展名的文件,找到电子邮件地址,并使用自带的SMTP向这些地址发送带毒的电子邮件。 4、利用Windows漏洞进行网络传播 该蠕虫会利用Windows的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞,可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时,该蠕虫通过利用受感染系统的漏洞发送数据包,并在一个特殊的位置创建自身的拷贝。 5、其他功能 该蠕虫会编辑系统的HOSTS文件,该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站,以保护蠕虫自身,形成更大范围的扩散。 手工清除: 1、重启后进入安全模式; 2、打开任务管理器,找到病毒文件对应的进程(如disrr.exe),结束该进程; 3、打开注册表编辑器,找到注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除该项中的键值,如disrr=“disrr”; 4、清除HOSTS文件中的病毒键。使用文本编辑器(如记事本)打开如下文件:%System%\drivers\etc\HOSTS,删除HOSTS文件中有关反病毒的网址字符串,保存文件并关闭注册表编辑器。(其中,%System%通常为C:\Windows\System或C:\WINNT\System32) 5、没有打LSASS漏洞补丁程序的计算机,立即给系统安装漏洞补丁。(完)(责任编辑:康宁) | ||||||||