当前位置: >> 首页 >> 病毒频道 >> 反病毒基地 >> 常见病毒

怪物II(Worm.BugBear.B)病毒档案
www.rising.com.cn  2003-6-10 11:32:00  信息源:瑞星公司
广告  

警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播方式:局域网/邮件
感染对象:系统文件/网络
依赖系统: WIN9X//NT/2000/XP

病毒介绍

该病毒于6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身,病毒运行时会释放三个病毒体到系统目录,偷取用户键盘信息,监听端口开后门,并且感染文件,在感染的过程中破坏文件结构,使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录,并通过EMAIL地址向外发送大量病毒邮件,造成网络瘫痪等严重后果。

病毒的发现与清除

此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:

1. 该病毒由于感染系统目录,释放的病毒文件名是随机的,因此可以查看一下注册表中的: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中是否有可疑的键值。
2. 病毒运行时会在本地系统监听1080端口,等待控制台端的连入,形成一个病毒后门。该后门会暴露系统的安全信息,并且可以执行一些简单的控制命令,可以用一些端口监听工具查看1080端口。
3. 病毒会每隔20秒就查找一下内存,当发现有下列反病毒软件或防火墙的程序运行时,就会干掉这些程序,使它们失效,以下是病毒可以杀掉的进程:

PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。

如果用户安装了这些软件,并无故出错,则很可能是中了该病毒。

4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播,邮件标题可能为:

Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift! 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。

病毒邮件的附件名可能为:

readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。

病毒邮件附件的扩展名可能为:

.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg
,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。

如果用户收到了有以上内容的信件,则很可能是感染了该病毒。

用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了怪物II(Worm.BugBear.B)病毒。为避免用户遭受损失,瑞星公司已于截获此病毒当晚就进行了紧急升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.39版已可清除此病毒,目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

对于该病毒对用户系统造成的影响,瑞星公司已经推出免费注册表修复工具来进行系统恢复。

如遇到异常情况,可随时拨打瑞星反病毒急救电话:010-82678800或使用瑞星在线杀毒:http://online.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!

反病毒论坛】 【网络安全论坛】 【在线技术支持论坛】 【打印】 【关闭】    
  相关文章
  • Bugbear病毒被评为10月份破坏力最大的病毒
  • Bugbear病毒再度袭击澳大利亚国会
  • 与“Bugbear”齐头并进 两新蠕虫威胁win/Linux
  • “Bugbear”病毒(又名怪物)现身一周 蔓延速度已放缓
  • “怪物(Bugbear)”病毒急速传播 几十个国家受感染
  • 15.03版新增突发病毒Bugbear等164个可查杀病毒



    		•
    信息安全 源自瑞星