SCO炸弹变种B(Worm.Novarg.B)病毒档案
www.rising.com.cn 信息源:瑞星公司
病毒名称:SCO炸弹变种B(Worm.Novarg.B)
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:邮件
依赖系统: WINDOWS 9X/NT/2000/XP
病毒介绍:
1月29日,瑞星全球反病毒监测网率先截获“SCO炸弹”病毒的一个新变种,并命名为“SCO炸弹变种B”(Worm.Novarg.b)病毒。据瑞星反病毒工程师介绍,与“SCO炸弹”不同,该病毒已经把攻击的矛头直接指向微软,将对微软网站发动拒绝服务式攻击。瑞星技术服务部门27日通过国内病毒监测网监测到1000多封携带该病毒的用户邮件,而1月29日已经上升至4000多封,并有急剧增长的趋势。
据瑞星反病毒工程师分析,该病毒变种的技术特性与“SCO炸弹相似”,利用病毒邮件的大量传播感染用户电脑,把感染的电脑当作代理服务器针对特定网址发送拒绝服务式攻击,这种攻击方式目前没有有效的预防措施。和“SCO炸弹”一样,该病毒变种不会感染以EDU结尾的邮件地址,尽管病毒编写者的主要目的是为了攻击微软和SCO公司,但由于带毒邮件的大量传播会消耗网络资源,并对系统设置后门,对普通用户的正常使用造成很大安全风险。
病毒的特性、发现与清除:
1. 该病毒是蠕虫型病毒,采用upx压缩,病毒体大小为29,184字节。
2. 病毒运行时会释放后门程序为:%System%\Ctfmon.dll,该后门程序使用以下TCP端口: 80、 1080、 3128、8080、10080,该后门可以下载或执行任何有害代码。可将该病毒文件直接删除。
注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。
4. 病毒运行时会将自身复制为:%System%\Explorer.exe,目的是冒充系统的资源管理器,但系统的资源管理器是在%Windir%目录,而不是在%System%目录,广大计算机用户要注意分辨。可将该病毒文件直接删除。
注意::%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。
5. 病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行,则会立刻将该程序关闭,目的是防止用户查看内存中的病毒进程。
6. 病毒运行时会修改注册表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒键值:"(Default)" = "%System%\ctfmon.dll",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
7. 病毒会修改注册表的自启动项:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在其中加入病毒键值:"Explorer" = "%System%\Explorer.exe",目的是开机时可以自动运行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
8. 病毒会修改系统的HOST文件,使用户无法正常登陆下列网站:
? ad.doubleclick.net
? ad.fastclick.net
? ads.fastclick.net
? ar.atwola.com
? atdmt.com
? avp.ch
? avp.com
? avp.ru
? awaps.net
? banner.fastclick.net
? banners.fastclick.net
? ca.com
? click.atdmt.com
? clicks.atdmt.com
? dispatch.mcafee.com
? download.mcafee.com
? download.microsoft.com
? downloads.microsoft.com
? engine.awaps.net
? fastclick.net
? f-secure.com
? ftp.f-secure.com
? ftp.sophos.com
? go.microsoft.com
? liveupdate.symantec.com
? mast.mcafee.com
? mcafee.com
? media.fastclick.net
? msdn.microsoft.com
? my-etrust.com
? nai.com
? networkassociates.com
? office.microsoft.com
? phx.corporate-ir.net
? secure.nai.com
? securityresponse.symantec.com
? service1.symantec.com
? sophos.com
? spd.atdmt.com
? support.microsoft.com
? symantec.com
? update.symantec.com
? updates.symantec.com
? us.mcafee.com
? vil.nai.com
? viruslist.ru
? windowsupdate.microsoft.com
? www.avp.ch
? www.avp.com
? www.avp.ru
? www.awaps.net
? www.ca.com
? www.fastclick.net
? www.f-secure.com
? www.kaspersky.ru
? www.mcafee.com
? www.microsoft.com
? www.my-etrust.com
? www.nai.com
? www.networkassociates.com
? www.sophos.com
? www.symantec.com
? www.trendmicro.com
? www.viruslist.ru
? www3.ca.com
9. 病毒会在指定日期内,对www.microsoft.com和www.sco.com两个网站进行DoS攻击,如果攻击成功,将会导致这两个网站瘫痪,无法向用户提供服务。
10. 病毒运行时会搜索以下类型:.htm、.sht 、.php 、 .asp 、.dbx 、.tbb 、.adb 、.pl 、.wab 、.txt的文件,在其中寻找有效的邮件地址,然后向这些地址发送病毒邮件。
11. 病毒邮件的附件是病毒体,采用双后缀形式来迷惑用户,常用的后缀为:.htm、.txt、.doc
12. 病毒邮件为以下内容:
病毒邮件的标题可能为:
Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
病毒邮件的正文可能为:
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
13. 该病毒能通过一些P2P共享软件进行传播,病毒运行时会将自身拷贝到Kazaa软件的下载目录下,共命名为:
? icq2004-final
? Xsharez_scanner
? BlackIce_Firewall_Enterpriseactivation_crack
? ZapSetup_40_148
? MS04-01_hotfix
? Winamp5
? AttackXP-1.26
? NessusScan_pro
诱惑该软件的其它用户点击,从而达到传播的目的。
瑞星反病毒专家的安全建议:
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报,这样才能真正保障计算机的安全。
|