通知公告
国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了新蠕虫Worm_Bobax.P。这个是一个常驻内存型的蠕虫,它利用电子邮件进行传播。
该蠕虫还可以利用Windows的LSASS的漏洞进行传播,同时会修改系统的HOSTS文件,阻止用户访问某些反病毒网站。
蠕虫具体特征如下:
病毒名称:Worm_Bobax.P
感染系统:Win9x/WinNT/Win2000/WinXP/Win ME
病毒长度:31,232字节
病毒特征:
1、生成文件
蠕虫运行后,会在%Windows%目录下生成一个随机命名的自身拷贝文件,同时在目录%Windows%中的临时文件夹中生成一个名为~DF7.TMP的动态链接库(DLL)组件。(其中,%Windows% 为操作系统的安装目录,通常为 C:\Windows 或 C:\WINNT)
2、修改注册表项
蠕虫会创建注册表项,使得自身能够在系统启动时自动运行,会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run中添加
{蠕虫随机的文件名} = "{该文件名}",如disrr="disrr"
3、通过电子邮件进行传播
蠕虫在被感染用户的系统内搜索多种扩展名的文件,找到电子邮件地址,并使用自带的SMTP向这些地址发送带毒的电子邮件。
4、利用Windows漏洞进行网络传播
该蠕虫会利用Windows 的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞,可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时,该蠕虫通过利用受感染系统的漏洞发送数据包,并在一个特殊的位置创建自身的拷贝。
5、其他功能
该蠕虫会编辑系统的HOSTS文件,该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站,以保护蠕虫自身,形成更大范围的扩散。
手工清除:
1、重启后进入安全模式;
2、打开任务管理器,找到病毒对应的进程(如disrr.exe),结
束该进程;
3、打开注册表编辑器,找到注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run,删除该项中的键值,如
disrr="disrr";
4、清除HOSTS文件中的病毒键。使用文本编辑器(如记事本)打
开如下文件:
%System%\drivers\etc\HOSTS,删除HOSTS文件中有关反病毒
的网址字符串,保存文件并关闭注册表编辑器。(其
中,%System%通常为C:\Windows\System
或 C:\WINNT\System32)
5、没有打LSASS漏洞补丁程序的计算机,立即给系统安装漏洞补
丁。
本周发作:
病毒名称:“求职信”变种(Worm_Klez.C)
病毒类型:电子邮件蠕虫病毒
发作日期:6月13日
危害程度:病毒向外发送带毒邮件,终止反病毒软件的运行,并在13日用垃圾数据覆盖电脑中的有效数据。
专家提醒:
1、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
2、提醒广大计算机用户升级杀毒软件,启动“实时监控”和“个人防火墙”,做好预防工作。
3、由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址:Http://www.antivirus-China.org.cn
电 话:022-66211488/66211489/66211490 转 8017
传 真:022-66211487
电子邮件:sos@antivirus-China.org.cn
contact@antivirus-china.org.cn
 © 2023 版权所有:河海大学网络安全与信息化办公室 版权所有 地址:江苏省南京市西康路1号 反馈邮箱:xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理 
河海大学微门户 
河海大学移动办公 
河海网信办微信公众号 |