蠕虫出现新变种 阻止用户访问反病毒网站

　　新华网天津6月12日电（梁宏、张建新）国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现了蠕虫Bobax的一个新变种Worm_Bobax.P。

　　据介绍，这个是一个常驻内存型的蠕虫，它利用电子邮件进行传播。该蠕虫还可以利用Windows的LSASS漏洞进行传播，同时会修改系统的HOSTS文件，阻止用户访问某些反病毒网站。

　　蠕虫具体特征如下：

　　病毒名称：Worm_Bobax.P

　　感染系统：Win9x/WinNT/Win2000/WinXP/Win ME

　　病毒特征：

　　1、生成文件

　　蠕虫运行后，会在％Windows％目录下生成一个随机命名的自身拷贝文件，同时在目录％Windows％中的临时文件夹中生成一个名为~DF7.TMP的动态链接库（DLL）组件。（其中，％Windows％为操作系统的安装目录，通常为C:\Windows或 C:\WINNT）

　　2、修改注册表项

　　蠕虫会创建注册表项，使得自身能够在系统启动时自动运行，会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加蠕虫随机的文件名＝“该文件名”，如disrr＝“disrr”。

　　3、通过电子邮件进行传播

　　蠕虫在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用自带的SMTP向这些地址发送带毒的电子邮件。

　　4、利用Windows漏洞进行网络传播

　　该蠕虫会利用Windows的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞，可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时，该蠕虫通过利用受感染系统的漏洞发送数据包，并在一个特殊的位置创建自身的拷贝。

　　5、其他功能

　　该蠕虫会编辑系统的HOSTS文件，该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站，以保护蠕虫自身，形成更大范围的扩散。

　　手工清除：

　　1、重启后进入安全模式；

　　2、打开任务管理器，找到病毒文件对应的进程（如disrr.exe），结束该进程；

　　3、打开注册表编辑器，找到注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，删除该项中的键值，如disrr＝“disrr”；

　　4、清除HOSTS文件中的病毒键。使用文本编辑器（如记事本）打开如下文件：％System％\drivers\etc\HOSTS,删除HOSTS文件中有关反病毒的网址字符串，保存文件并关闭注册表编辑器。（其中，％System％通常为C:\Windows\System或C:\WINNT\System32）

　　5、没有打LSASS漏洞补丁程序的计算机，立即给系统安装漏洞补丁。（完）（责任编辑:康宁）