蠕虫病毒出现新变种 | ||||||||
---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2005年06月13日07:29 潇湘晨报 | ||||||||
据新华社电国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了蠕虫Bobax的一个新变种Worm_Bobax.P,感染系统包括Win9x、WinNT、Win2000、WinXP和WinME。 据介绍,这个是一个常驻内存型的蠕虫,它利用电子邮件进行传播。该蠕虫还可以利用Windows的LSASS漏洞进行传播,同时会修改系统的HOSTS文件,阻止用
手工清除程序为:重启后进入安全模式;打开任务管理器,找到病毒文件对应的进程(如disrr.exe),结束该进程;打开注册表编辑器,找到注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionRun,删除该项中的键值,如disrr=“disrr”;清除HOSTS文件中的病毒键。使用文本编辑器(如记事本)打开如下文件:%System%\drivers\etcHOSTS,删除HOSTS文件中有关反病毒的网址字符串,保存文件并关闭注册表编辑器(其中,%System%通常为C:\Windows\System或C:\WINNT\System32)。 该病毒主要特征如下: 生成文件蠕虫运行后,会在%Windows%目录下生成一个随机命名的自身拷贝文件,同时在目录%Windows%中的临时文件夹中生成一个名为?觸DF7.TMP的动态链接库(DLL)组件(其中,%Windows%为操作系统的安装目录,通常为C:\Windows或C:\WINNT)。 修改注册表项蠕虫会创建注册表项,使得自身能够在系统启动时自动运行,会在HKEY_LOCAL_M- ACHINE\Software\MicrosoftWindows\CurrentVersion\Run中添加蠕虫随机的文件名=“该文件名”,如disrr=“disrr”。 通过电子邮件进行传播蠕虫在被感染用户的系统内搜索多种扩展名的文件,找到电子邮件地址,并使用自带的SMTP向这些地址发送带毒的电子邮件。 利用Windows漏洞进行网络传播该蠕虫会利用Windows的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞,可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时,该蠕虫通过利用受感染系统的漏洞发送数据包,并在一个特殊的位置创建自身的拷贝。 | ||||||||