病毒名称：SCO炸弹变种B(Worm.Novarg.B)

警惕程度：★★★★

发作时间：随机

病毒类型：蠕虫病毒

传播途径：邮件

依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍：

1月29日，瑞星全球反病毒监测网率先截获“SCO炸弹”病毒的一个新变种，并命名为“SCO炸弹变种B”(Worm.Novarg.b)病毒。据瑞星反病毒工程师介绍，与“SCO炸弹”不同，该病毒已经把攻击的矛头直接指向微软，将对微软网站发动拒绝服务式攻击。瑞星技术服务部门27日通过国内病毒监测网监测到1000多封携带该病毒的用户邮件，而1月29日已经上升至4000多封，并有急剧增长的趋势。

据瑞星反病毒工程师分析，该病毒变种的技术特性与“SCO炸弹相似”，利用病毒邮件的大量传播感染用户电脑，把感染的电脑当作代理服务器针对特定网址发送拒绝服务式攻击，这种攻击方式目前没有有效的预防措施。和“SCO炸弹”一样，该病毒变种不会感染以EDU结尾的邮件地址，尽管病毒编写者的主要目的是为了攻击微软和SCO公司，但由于带毒邮件的大量传播会消耗网络资源，并对系统设置后门，对普通用户的正常使用造成很大安全风险。

病毒的特性、发现与清除：

1.     该病毒是蠕虫型病毒，采用upx压缩，病毒体大小为29,184字节。

2.     病毒运行时会释放后门程序为：%System%\Ctfmon.dll，该后门程序使用以下TCP端口： 80、 1080、 3128、8080、10080，该后门可以下载或执行任何有害代码。可将该病毒文件直接删除。

注意：%system%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。

3.     病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件，并自动调用记事本程序来打开它，从而显示一些伪装信息。

注意：%Temp%是一个变量，它指的是操作系统安装目录中的临时目录，默认是：“C:\Windows\temp”或：“c:\Winnt\temp”。

4.     病毒运行时会将自身复制为：%System%\Explorer.exe，目的是冒充系统的资源管理器，但系统的资源管理器是在%Windir%目录，而不是在%System%目录，广大计算机用户要注意分辨。可将该病毒文件直接删除。

注意：：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。 

5.     病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行，则会立刻将该程序关闭，目的是防止用户查看内存中的病毒进程。

6.     病毒运行时会修改注册表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32，在其中建立病毒键值："(Default)" = "%System%\ctfmon.dll"，目的是替换系统中的默认浏览器程序，使用户一打开浏览器，就能自动执行病毒。可以用注册表编辑工具（regedit.exe）将该病毒键值直接删除。

7.     病毒会修改注册表的自启动项：

    HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在其中加入病毒键值："Explorer" = "%System%\Explorer.exe"，目的是开机时可以自动运行病毒。可以用注册表编辑工具（regedit.exe）将该病毒键值直接删除。

8.     病毒会修改系统的HOST文件，使用户无法正常登陆下列网站：

    •    ad.doubleclick.net

• ad.fastclick.net

• ads.fastclick.net

• ar.atwola.com

• atdmt.com

• avp.ch

• avp.com

• avp.ru

• awaps.net

• banner.fastclick.net

• banners.fastclick.net

• ca.com

• click.atdmt.com

• clicks.atdmt.com

• dispatch.mcafee.com

• download.mcafee.com

• download.microsoft.com

• downloads.microsoft.com

• engine.awaps.net

• fastclick.net

• f-secure.com

• ftp.f-secure.com

• ftp.sophos.com

• go.microsoft.com

• liveupdate.symantec.com

• mast.mcafee.com

• mcafee.com

• media.fastclick.net

• msdn.microsoft.com

• my-etrust.com

• nai.com

• networkassociates.com

• office.microsoft.com

• phx.corporate-ir.net

• secure.nai.com

• securityresponse.symantec.com

• service1.symantec.com

• sophos.com

• spd.atdmt.com

• support.microsoft.com

• symantec.com

• update.symantec.com

• updates.symantec.com

• us.mcafee.com

• vil.nai.com

• viruslist.ru

• windowsupdate.microsoft.com

• www.avp.ch

• www.avp.com

• www.avp.ru

• www.awaps.net

• www.ca.com

• www.fastclick.net

• www.f-secure.com

• www.kaspersky.ru

• www.mcafee.com

• www.microsoft.com

• www.my-etrust.com

• www.nai.com

• www.networkassociates.com

• www.sophos.com

• www.symantec.com

• www.trendmicro.com

• www.viruslist.ru

• www3.ca.com

9.     病毒会在指定日期内，对www.microsoft.com和www.sco.com两个网站进行DoS攻击，如果攻击成功，将会导致这两个网站瘫痪，无法向用户提供服务。

10.  病毒运行时会搜索以下类型：.htm、.sht 、.php 、 .asp 、.dbx 、.tbb 、.adb 、.pl 、.wab 、.txt的文件，在其中寻找有效的邮件地址，然后向这些地址发送病毒邮件。

11.  病毒邮件的附件是病毒体，采用双后缀形式来迷惑用户，常用的后缀为：.htm、.txt、.doc

12.  病毒邮件为以下内容：

    病毒邮件的标题可能为:

    Returned mail

    Delivery Error

    Status

    Server Report

    Mail Transaction Failed

    Mail Delivery System

    hello

    hi

    病毒邮件的正文可能为：

    sendmail daemon reported:

    Error #804 occured during SMTP session. Partial message has been received.

    Mail transaction failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message contains MIME-encoded graphics and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

13.  该病毒能通过一些P2P共享软件进行传播，病毒运行时会将自身拷贝到Kazaa软件的下载目录下，共命名为：

•   icq2004-final

•   Xsharez_scanner

•   BlackIce_Firewall_Enterpriseactivation_crack

•   ZapSetup_40_148

•   MS04-01_hotfix

•   Winamp5

•   AttackXP-1.26

•   NessusScan_pro

诱惑该软件的其它用户点击，从而达到传播的目的。

瑞星反病毒专家的安全建议：

1.     建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2.     关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3.     经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4.     使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5.     迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.     了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.     最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报，这样才能真正保障计算机的安全。