网盟发现能更改安全程序设置的邮件蠕虫病毒

倒序浏览 · 发表于 2002-10-13 13:21:54

美国网络联盟公司旗下的著名反病毒紧急响应小组AVERT (Anti-Virus Emergency Response Team)近期对最新发现的蠕虫病毒W32/Bugbear@MM进行了一次中级风险评估，发现大规模邮件蠕虫能更改安全程序设置。Bugbear是一种破坏性的大规模邮件蠕虫，通过网络共享和把自己发送到本地用户地址簿进行传播。该病毒还包含一个拥有注册密钥功能的后门特洛伊组件。它首次被McAfee AVERT英国研究实验室发现，并相继在美国、英格兰和印度发现。美国网络联盟公司(纽约证券交易所：NET)是全球著名的网络安全和网络可用性解决方案供应商。 ?? 病毒症状 Bugbear是曾被激活的互联网蠕虫，并把自己发送到本地用户地址簿里找到的地址。当运行被感染的机器时，Bugbear就把自己复制到Windows的目标系统，成为以.EXE为扩展名的随机可执行文件。本地机器注册密钥的设置是为了挂起下次系统启动。蠕虫就把自己复制到被感染机器的启动文件夹中，作为***.EXE，其中***是一个随机文件。因为Bugbear使用了大量主题头街，用户必须立即删除包含下列主题头街的邮件： 主题包括 * Found * Daily Email Reminder * Just a reminder * Lost * Market Update Report * Membership Confirmation * Your News Alert 要想查看完整的潜在邮件主题行列表，请访问AVERT网站上的描述页面：vil.nai.com/vil/content/v_99728.htm. ?? 邮件主体 信息主体和附件名称改变。附件名称包含一个象doc.pif.这样的双扩展名。发出的邮件在微软IE中使用不正确的MIME头街，并能导致IE在没有SP2的5.01或5.5版本下执行邮件附件。 ?? 特洛伊组件 Bugbear在被感染机器上打开端口36794，并且搜寻多种运行进程，一旦发现，就停止运行。运行进程包括许多流行的AV和个人防火墙产品。它向被感染机器丢下一个DLL-与注册密钥相关，这个DLL被探测为PWS-Hooker.dll。 一旦Bugbear感染一台计算机系统，它将试图去终止系统安全程序进程。 比如： * ACKWIN32.exe * CLEANER.exe * ESPWATCH.exe * FINDVIRU.exe * F-AGNT95.exe * NAVAPW32.exe * RESCUE.exe * SAFEWEB.exe * ZONEALARM 要想查看完整的受影响安全程序清单，请访问AVERT网站上的描述页面：vil.nai.com/vil/content/v_99728.htm. ?? 修复 该病毒的即时信息和修复可以通过McAfee AVERT网址在线获得vil.nai.com/vil/content/v_99728.htm. McAfee VirusScan用户应该从该页面升级他们的系统，并且使用4226 DAT文件来阻止潜在损坏。