蠕虫病毒出现新变种

http://www.sina.com.cn 2005年06月13日07:29 潇湘晨报

　　据新华社电国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现了蠕虫Ｂｏｂａｘ的一个新变种Ｗｏｒｍ＿Ｂｏｂａｘ.Ｐ，感染系统包括Ｗｉｎ9ｘ、ＷｉｎＮＴ、Ｗｉｎ2000、ＷｉｎＸＰ和ＷｉｎＭＥ。

　　据介绍，这个是一个常驻内存型的蠕虫，它利用电子邮件进行传播。该蠕虫还可以利用Ｗｉｎｄｏｗｓ的ＬＳＡＳＳ漏洞进行传播，同时会修改系统的ＨＯＳＴＳ文件，阻止用

<SCRIPT LANGUAGE="JavaScript1.1" SRC="http://94.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|news|newschinapip&db=sina&local=yes&js=on"></SCRIPT> <NOSCRIPT><A HREF="http://94.adsina.allyes.com/main/adfclick?user=AFP6_for_SINA|news|newschinapip&db=sina"><IMG SRC="http://94.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|news|newschinapip&db=sina" WIDTH=360 HEIGHT=300 BORDER=0></a></NOSCRIPT>

户访问某些反病毒网站。

　　手工清除程序为：重启后进入安全模式；打开任务管理器，找到病毒文件对应的进程（如ｄｉｓｒｒ.ｅｘｅ），结束该进程；打开注册表编辑器，找到注册表项ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼Ｓｏｆｔｗａｒｅ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎＲｕｎ，删除该项中的键值，如ｄｉｓｒｒ＝“ｄｉｓｒｒ”；清除ＨＯＳＴＳ文件中的病毒键。使用文本编辑器（如记事本）打开如下文件：％Ｓｙｓｔｅｍ％＼ｄｒｉｖｅｒｓ＼ｅｔｃＨＯＳＴＳ，删除ＨＯＳＴＳ文件中有关反病毒的网址字符串，保存文件并关闭注册表编辑器（其中，％Ｓｙｓｔｅｍ％通常为Ｃ:＼Ｗｉｎｄｏｗｓ＼Ｓｙｓｔｅｍ或Ｃ:＼ＷＩＮＮＴ＼Ｓｙｓｔｅｍ32）。

　　该病毒主要特征如下：

　　生成文件蠕虫运行后，会在％Ｗｉｎｄｏｗｓ％目录下生成一个随机命名的自身拷贝文件，同时在目录％Ｗｉｎｄｏｗｓ％中的临时文件夹中生成一个名为?觸ＤＦ7.ＴＭＰ的动态链接库（ＤＬＬ）组件（其中，％Ｗｉｎｄｏｗｓ％为操作系统的安装目录，通常为Ｃ:＼Ｗｉｎｄｏｗｓ或Ｃ:＼ＷＩＮＮＴ）。

　　修改注册表项蠕虫会创建注册表项，使得自身能够在系统启动时自动运行，会在ＨＫＥＹ＿ＬＯＣＡＬ＿Ｍ－

　　ＡＣＨＩＮＥ＼Ｓｏｆｔｗａｒｅ＼ＭｉｃｒｏｓｏｆｔＷｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｒｕｎ中添加蠕虫随机的文件名＝“该文件名”，如ｄｉｓｒｒ＝“ｄｉｓｒｒ”。

　　通过电子邮件进行传播蠕虫在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用自带的ＳＭＴＰ向这些地址发送带毒的电子邮件。

　　利用Ｗｉｎｄｏｗｓ漏洞进行网络传播该蠕虫会利用Ｗｉｎｄｏｗｓ的ＬＳＡＳＳ漏洞进行传播。该漏洞属于缓冲区溢出漏洞，可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时，该蠕虫通过利用受感染系统的漏洞发送数据包，并在一个特殊的位置创建自身的拷贝。