爱屋交友网logo 使用QQ登录  使用新浪微博登录 会员名密码记住我  免费注册成立于2001年健康温馨的爱屋交友网
网站导航 使用帮助 联系我们 大事记 推荐好友 VIP 在线会员 最新注册 免费游泳培训
爱屋首页
个人中心
好友动态
赞排行
会员查询
同城交友
征婚启事
图说爱屋
俱乐部
活动
同城约会
在线聊天
每日签到
幽默笑话
交友论坛
 免费学游泳两次就学会  免费查看会员电话   上传照片可免费获赠VIP会员   我的相关信息  爱屋网址由loveoo.com更新为aiwu99.com,寓意:爱屋交友长长久久
爱屋交友网爱屋社区爱屋站务
SCO炸弹变种B(Worm.Novarg.B)病毒档案

作者:juyanxiao   查看juyanxiao全部帖子人气值:8824   回复数:0   字数:5293发表时间:2004/1/31 23:48:08





SCO炸弹变种B(Worm.Novarg.B)病毒档案

www.rising.com.cn 信息源:瑞星公司


病毒名称:SCO炸弹变种B(Worm.Novarg.B)

警惕程度:★★★★

发作时间:随机

病毒类型:蠕虫病毒

传播途径:邮件

依赖系统: WINDOWS 9X/NT/2000/XP



病毒介绍:

1月29日,瑞星全球反病毒监测网率先截获“SCO炸弹”病毒的一个新变种,并命名为“SCO炸弹变种B”(Worm.Novarg.b)病毒。据瑞星反病毒工程师介绍,与“SCO炸弹”不同,该病毒已经把攻击的矛头直接指向微软,将对微软网站发动拒绝服务式攻击。瑞星技术服务部门27日通过国内病毒监测网监测到1000多封携带该病毒的用户邮件,而1月29日已经上升至4000多封,并有急剧增长的趋势。

据瑞星反病毒工程师分析,该病毒变种的技术特性与“SCO炸弹相似”,利用病毒邮件的大量传播感染用户电脑,把感染的电脑当作代理服务器针对特定网址发送拒绝服务式攻击,这种攻击方式目前没有有效的预防措施。和“SCO炸弹”一样,该病毒变种不会感染以EDU结尾的邮件地址,尽管病毒编写者的主要目的是为了攻击微软和SCO公司,但由于带毒邮件的大量传播会消耗网络资源,并对系统设置后门,对普通用户的正常使用造成很大安全风险。



病毒的特性、发现与清除:

1. 该病毒是蠕虫型病毒,采用upx压缩,病毒体大小为29,184字节。

2. 病毒运行时会释放后门程序为:%System%\Ctfmon.dll,该后门程序使用以下TCP端口: 80、 1080、 3128、8080、10080,该后门可以下载或执行任何有害代码。可将该病毒文件直接删除。

注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。

3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。

注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。

4. 病毒运行时会将自身复制为:%System%\Explorer.exe,目的是冒充系统的资源管理器,但系统的资源管理器是在%Windir%目录,而不是在%System%目录,广大计算机用户要注意分辨。可将该病毒文件直接删除。

注意::%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。

5. 病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行,则会立刻将该程序关闭,目的是防止用户查看内存中的病毒进程。

6. 病毒运行时会修改注册表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒键值:"(Default)" = "%System%\ctfmon.dll",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。

7. 病毒会修改注册表的自启动项:

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在其中加入病毒键值:"Explorer" = "%System%\Explorer.exe",目的是开机时可以自动运行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。

8. 病毒会修改系统的HOST文件,使用户无法正常登陆下列网站:

? ad.doubleclick.net

? ad.fastclick.net

? ads.fastclick.net

? ar.atwola.com

? atdmt.com

? avp.ch

? avp.com

? avp.ru

? awaps.net

? banner.fastclick.net

? banners.fastclick.net

? ca.com

? click.atdmt.com

? clicks.atdmt.com

? dispatch.mcafee.com

? download.mcafee.com

? download.microsoft.com

? downloads.microsoft.com

? engine.awaps.net

? fastclick.net

? f-secure.com

? ftp.f-secure.com

? ftp.sophos.com

? go.microsoft.com

? liveupdate.symantec.com

? mast.mcafee.com

? mcafee.com

? media.fastclick.net

? msdn.microsoft.com

? my-etrust.com

? nai.com

? networkassociates.com

? office.microsoft.com

? phx.corporate-ir.net

? secure.nai.com

? securityresponse.symantec.com

? service1.symantec.com

? sophos.com

? spd.atdmt.com

? support.microsoft.com

? symantec.com

? update.symantec.com

? updates.symantec.com

? us.mcafee.com

? vil.nai.com

? viruslist.ru

? windowsupdate.microsoft.com

? www.avp.ch

? www.avp.com

? www.avp.ru

? www.awaps.net

? www.ca.com

? www.fastclick.net

? www.f-secure.com

? www.kaspersky.ru

? www.mcafee.com

? www.microsoft.com

? www.my-etrust.com

? www.nai.com

? www.networkassociates.com

? www.sophos.com

? www.symantec.com

? www.trendmicro.com

? www.viruslist.ru

? www3.ca.com

9. 病毒会在指定日期内,对www.microsoft.com和www.sco.com两个网站进行DoS攻击,如果攻击成功,将会导致这两个网站瘫痪,无法向用户提供服务。

10. 病毒运行时会搜索以下类型:.htm、.sht 、.php 、 .asp 、.dbx 、.tbb 、.adb 、.pl 、.wab 、.txt的文件,在其中寻找有效的邮件地址,然后向这些地址发送病毒邮件。

11. 病毒邮件的附件是病毒体,采用双后缀形式来迷惑用户,常用的后缀为:.htm、.txt、.doc

12. 病毒邮件为以下内容:

病毒邮件的标题可能为:

Returned mail

Delivery Error

Status

Server Report

Mail Transaction Failed

Mail Delivery System

hello

hi



病毒邮件的正文可能为:

sendmail daemon reported:

Error #804 occured during SMTP session. Partial message has been received.

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

13. 该病毒能通过一些P2P共享软件进行传播,病毒运行时会将自身拷贝到Kazaa软件的下载目录下,共命名为:

? icq2004-final

? Xsharez_scanner

? BlackIce_Firewall_Enterpriseactivation_crack

? ZapSetup_40_148

? MS04-01_hotfix

? Winamp5

? AttackXP-1.26

? NessusScan_pro

诱惑该软件的其它用户点击,从而达到传播的目的。







瑞星反病毒专家的安全建议:

1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。

3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。

4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。

6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。

7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报,这样才能真正保障计算机的安全。


发贴   回复  [ 看贴是一种修养,回贴是一种美德;看贴回贴是好习惯,更是美德 ]


上一贴:关于爱屋功能(表现值、人气值等),欢迎在此提出建议下一贴:●●●爱屋年夜饭菜单●●●同城帖子

交友帮助  | 广告服务  | 联系我们  | 友情链接  | 申请友情链接  | →手机版