Worm.BugBear.B

感染對象：系統文件/網絡

依賴系統: WIN9X//NT/2000/XP

【病毒的發現與清除】

如何清除怪物II（Worm.BugBear.B）病毒？

此病毒會有如下特徵，如果用户發現計算機中有這些特徵，則很有可能中了此病毒：

1. 該病毒由於感染系統目錄，釋放的病毒文件名是隨機的，因此可以查看一下注冊表中的： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中是否有可疑的鍵值。

2. 病毒運行時會在本地系統監聽1080端口，等待控制枱端的連入，形成一個病毒後門。該後門會暴露系統的安全信息，並且可以執行一些簡單的控制命令，可以用一些端口監聽工具查看1080端口。

3. 病毒會每隔20秒就查找一下內存，當發現有下列反病毒軟件或防火牆的程序運行時，就會幹掉這些程序，使它們失效，以下是病毒可以殺掉的進程：

PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。

如果用户安裝了這些軟件，並無故出錯，則很可能是中了該病毒。

4. 病毒會試圖從後綴後為.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址進行郵件傳播，郵件標題可能為：

Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift。 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。

病毒郵件的附件名可能為：

readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。

病毒郵件附件的擴展名可能為：

.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg

,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。

如果用户收到了有以上內容的信件，則很可能是感染了該病毒。

用户如果在自己的計算機中發現以上全部或部分現象，則很有可能中了怪物II（Worm.BugBear.B）病毒。為避免用户遭受損失，瑞星公司已於截獲此病毒當晚就進行了緊急升級，瑞星殺毒軟件、瑞星在線殺毒、瑞星殺毒軟件“下載版”，這三款產品15.39版已可清除此病毒，目前瑞星用户只需及時升級手中的軟件即可徹底攔截此病毒。

對於該病毒對用户系統造成的影響，瑞星公司已經推出免費註冊表修復工具來進行系統恢復。