病毒名称：SCO炸弹(Worm.Novarg)

警惕程度：★★★★

发作时间：随机

病毒类型：蠕虫病毒

传播途径：邮件

依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍：

1月27日，瑞星全球反病毒监测网率先截获一个传播力极强的蠕虫病毒，并命名为“SCO炸弹”(Worm.Novarg)病毒.该病毒通过电子邮件传播，感染用户电脑之后潜伏下来，等到系统日期为2004年2月1日时发作，利用受感染电脑对SCO网站进行拒绝服务式攻击。

据瑞星反病毒工程师分析，此病毒最先在欧美爆发，主要目的是利用大量受感染电脑攻击SCO公司的官方网站，很可能是LINUX爱好者编写。

该病毒利用电子邮件传播，伪装成电子邮件系统的退信，邮件标题可能为“Error”、“Mail Transaction Failed”、“Server ReportMail Delivery System”，附件后缀为“bat、cmd、exe、pif、scr、zip”，该附件即为病毒体。瑞星反病毒工程师提醒用户，如果收到类似可疑邮件，请不要打开附件。

病毒的特性、发现与清除：

1.     该病毒是蠕虫型病毒，采用upx压缩。

2.     病毒运行时会释放后门程序为：%System%\ shimgapi.dll，该后门为一个代理服务器，端口为3127至3198，该模块还能根据传来的命令接受一个文件到本地系统并执行。可将该病毒文件直接删除。

注意：%system%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。

3.     病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件，并自动调用记事本程序来打开它，从而显示一些伪装信息。

注意：%Temp%是一个变量，它指的是操作系统安装目录中的临时目录，默认是：“C:\Windows\temp”或：“c:\Winnt\temp”。

4.     病毒运行时会将自身复制为：%System%\taskmon.exe，目的是冒充系统的任务管理器，广大计算机用户要注意分辨。可将该病毒文件直接删除。

5.     病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行，则会立刻将该程序关闭，目的是防止用户查看内存中的病毒进程。

6.     病毒运行时会修改注册表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32，在其中建立病毒键值："(Default)" = "%System%\ shimgapi.dll "，目的是替换系统中的默认浏览器程序，使用户一打开浏览器，就能自动执行病毒。可以用注册表编辑工具（regedit.exe）将该病毒键值直接删除。

7.     病毒会修改注册表的自启动项：

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，

在其中加入病毒键值：" TaskMon "，目的是开机时可以自动运行病毒。可以用注册表编辑工具（regedit.exe）将该病毒键值直接删除。

8.     病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击）攻击线程达64个，如果攻击成功，将会导致这两个网站瘫痪，无法向用户提供服务。

9.       病毒运行时将会在以下类型： .htm ，.sht ，.php ，.asp ，.dbx ，.tbb ，.adb

.pl ，.wab ，.txt的文件中搜索email地址（病毒将避开.edu结尾的email地址），并向这些地址发送病毒邮件。

10.  病毒邮件的附件是病毒体，采用双后缀形式来迷惑用户，常用的后缀为：.htm、.txt、.doc

11.  病毒邮件为以下内容：

    病毒邮件的标题为以下其中之一：

    test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status

    Error

    邮件内容为病毒用随机的数据进行编码。

    当编码失败时病毒用：

The message cannot be represented in 7 -bit  ASCII    encoding and has been sent as a binary attachment.

    test

    The message contains Unicode characters and has been sent as  a binary attachment.

    Mail transaction failed. Partial message is available.

    或空内容作为邮件正文。

    邮件的附件名为以下其中之一：

    document,readme,doc,text,file,data,test,message,body

    扩展名为以下其中之一：

    .pif,.scr,.exe,.cmd,.bat,.zip

12.  该病毒能通过一些P2P共享软件进行传播，病毒运行时会通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。

    文件名为：  

winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP，   office_crack,nuke2004。

    扩展名为：

  .pif,.scr,.bat,.exe

瑞星反病毒专家的安全建议：

1.     建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2.     关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3.     经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4.     使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5.     迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.     了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.     最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报，这样才能真正保障计算机的安全。