6月6日，瑞星全球反病毒监测网截获了去年十一期间就全球泛滥的“怪物”病毒的变种：怪物II（Worm.Bugbear.B），并在当日进行了常规升级。近日，瑞星反病毒工程师经过分析发现，该病毒不但集系统、黑客、后门、蠕虫等多种病毒特性与一身，而且感染方式非常奇特，会造成一些反病毒软件无法查出全部病毒，清除该病毒时会造成文件被破坏，无法完全还原被感染文件等现象。

    据瑞星反病毒工程师介绍，该病毒感染时会将被感染文件的整个文件破坏掉，然后将病毒体与被感染文件重新组合，形成“你中有我，我中有你”的状态，导致普通的杀毒软件无法正确定位病毒特征，使相当一部分被感染文件中的病毒无法被查出。

    另一方面，由于该病毒感染的特殊性，还会使一些反病毒软件不能正常清除该病毒。因为只要清除该病毒，就会破坏原始文件，出现丢失文件图标、文件无端增大等异常现象，使清除后的文件无法正常使用，严重时只能重装系统。

    瑞星反病毒工程师经过连夜分析，最终提出了该病毒的完全解决方案，该方案通过独有的动态定位技术，能查出所有被感染的病毒，然后通过文件结构重建方案，完全恢复被病毒感染的文件，使系统文件在清除病毒后仍能正常运行。

    目前瑞星杀毒软件已经升级至15.39版本，可以彻底清除该病毒，对于局域网的用户，瑞星公司建议企事业单位使用网络版反病毒软件进行全网杀毒。

    附录：

    “怪物II（Worm.Bugbear.B）”病毒的特征如下：

    一 高级语言带压缩

    该病毒由VC++高级语言进行编写，用UPX进行压缩，病毒文件大小为：72K。

    二 复制自身为三份

    该病毒运行后，会将自己复制到系统目录下，并同时放出三份病毒文件，名称随机。其中两个文件是病毒自己需要用的函数库，另外一个文件是用来监控用户键盘的“系统钓子”函数库，该文件用来偷取用户的键盘信息。

    三 监听端口成“后门”

    病毒运行时会在本地系统监听1080端口，等待控制台端的连入，形成一个病毒后门。该后门会暴露系统的安全信息，并且可以执行一些简单的控制命令。

    四 感染文件是病毒

    该病毒尝试感染系统目录或program Files里的可执行文件，将将被感染文件的结构破坏掉，与病毒溶为一体，使一般的杀毒软件无法清除。

    五 传播局域网

    病毒会试图搜索局域网内的所有共享资源，把自己复制到对方系统的开始菜单的启动目录中，以达到自启动的目的，增大病毒感染机会。

    六 干掉反病毒软件

    病毒会每隔20秒就查找一下内存，当发现有下列反病毒软件或防火墙的程序运行时，就会干掉这些程序，使它们失效，以下是病毒可以杀掉的进程：

PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。

    七 邮件传播。

    病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播，邮件标题可能为：

Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift! 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。

病毒邮件的附件名可能为：

readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。

病毒邮件附件的扩展名可能为：

.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg
,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。

    没有安装杀毒软件的用户要注意这此标题与附件的邮件。

    如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版或使用瑞星在线杀毒：http://online.rising.com.cn/在第一时间内清除该病毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！