反饋

Worm.Bugbear-A

Worm.Bugbear-A是一種惡性蠕蟲病毒，2002年10月2日在中國首次登陸。瑞星公司率先查殺了這種病毒，並把它命名為“怪物”病毒。這種病毒可以監控電腦用户的鍵盤動作，並截獲用户的登錄名和密碼；修改註冊表，電腦用户開機時病毒被自動啓動；會自動搜索並殺掉它知道的反病毒軟件的進程；向外界病毒客户端發送被感染用户的機密信息，如用户名和密碼；它會攻擊打印機，使同網絡內的打印機隨機打印二進制代碼。同時，它具有極強的傳播能力。它會利用局域網進行傳播，只要是能找到的資源，都會被感染。

病毒名稱: Worm.Bugbear-A
病毒類型: 蠕蟲病毒

感染對象: 網絡/郵件
病毒長度: 50688字節
警惕程度: ★★★★★

Worm.Bugbear-A病毒特性

複製自身，釋放“鈎子”

病毒運行時，會將自身複製到system目錄下，文件名為隨機的4個字母，擴展名為.EXE（如：yyyy.EXE），並釋放出一個動態鏈接庫文件，大小為 5632字節，文件名為隨機的6個字母，擴展名為.DLL（如：zzzzzz.DLL），這個DLL是一個鈎子函數,用來監控鍵盤動作，以截獲用户的登錄名及密碼。

修改註冊表，開機自啓動

病毒通過查註冊表得到系統的“開始菜單”→“程序”→“啓動”的路徑。並複製自己到該目錄下，文件名為隨機的3個字母，擴展名為.EXE。並在註冊表的"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"中加入自身，保證系統重啓時被自動執行。

啓動4個線程，進行全面傳播

病毒運行後會啓動4個線程：

1. 線程1啓動後，會每隔30秒進行一次“進程遍歷”工作，尋找病毒已知的反病毒軟件的進程，發現後會將之殺掉，使殺毒軟件全面失效。以下是病毒可以殺掉的反病毒軟件的進程(106個進程)：

ZONEALARM.EXE

WFINDV32.EXE

WEBSCANX.EXE

VSSTAT.EXE

VSHWIN32.EXE

VSECOMR.EXE

VSCAN40.EXE

VETTRAY.EXE

VET95.EXE

TDS2-NT.EXE

TDS2-98.EXE

TCA.EXE

TBSCAN.EXE

SWEEP95.EXE

SPHINX.EXE

SMC.EXE

SERV95.EXE

SCRSCAN.EXE

SCANPM.EXE

SCAN95.EXE

SCAN32.EXE

SAFEWEB.EXE

RESCUE.EXE

RAV7WIN.EXE

RAV7.EXE

PERSFW.EXE

PCFWALLICON.EXE

PCCWIN98.EXE

PAVW.EXE

PAVSCHED.EXE

PAVCL.EXE

PADMIN.EXE

OUTPOST.EXE

NVC95.EXE

NUPGRADE.EXE

NORMIST.EXE

NMAIN.EXE

NISUM.EXE

NAVWNT.EXE

NAVW32.EXE

NAVNT.EXE

NAVLU32.EXE

NAVAPW32.EXE

N32SCANW.EXE

MPFTRAY.EXE

MOOLIVE.EXE

LUALL.EXE

LOOKOUT.EXE

LOCKDOWN2000.EXE

JEDI.EXE

IOMON98.EXE

IFACE.EXE

ICSUPPNT.EXE

ICSUPP95.EXE

ICMON.EXE

ICLOADNT.EXE

ICLOAD95.EXE

IBMAVSP.EXE

IBMASN.EXE

IAMSERV.EXE

IAMAPP.EXE

FRW.EXE

FPROT.EXE

FP-WIN.EXE

FINDVIRU.EXE

F-STOPW.EXE

F-PROT95.EXE

F-PROT.EXE

F-AGNT95.EXE

ESPWATCH.EXE

ESAFE.EXE

ECENGINE.EXE

DVP95_0.EXE

DVP95.EXE

CLEANER3.EXE

CLEANER.EXE

CLAW95CF.EXE

CLAW95.EXE

CFINET32.EXE

CFINET.EXE

CFIAUDIT.EXE

CFIADMIN.EXE

BLACKICE.EXE

BLACKD.EXE

AVWUPD32.EXE

AVWIN95.EXE

AVSCHED32.EXE

AVPUPD.EXE

AVPTC32.EXE

AVPM.EXE

AVPDOS32.EXE

AVPCC.EXE

AVP32.EXE

AVP.EXE

AVNT.EXE

AVKSERV.EXE

AVGCTRL.EXE

AVE32.EXE

AVCONSOL.EXE

AUTODOWN.EXE

APVXDWIN.EXE

ANTI-TROJAN.EXE

ACKWIN32.EXE

_AVPM.EXE

_AVPCC.EXE

_AVP32.EXE

2. 線程2啓動後會進行局域網傳染，遍歷所有的網絡資源，找到後病毒會把自己複製到\\<機器名>\$C\Documents and Settings\<用户名>\「開始」菜單\程序\啓動\siq.exe文件中，如果局域網中被感染的計算機重啓的話，病毒便會被激活。

3. 線程3啓動後會搜索硬盤上的地址簿文件，根據其中地址向外發送一封利用了MIME和IFRAME漏洞的病毒郵件（這種漏洞郵件不需要雙擊運行，只要預覽該郵件，病毒就會運行），進行Internet傳播。病毒郵件沒有正文，郵件的標題是下列字符串中的任意一種：

Hello!

update

Payment notices

Just a reminder

Correction of errors

history screen

Announcement

various

Introduction

Interesting...

I need help about script!!!

Please Help...

Report

Membership Confirmation

Get a FREE gift!

Today Only

New Contests

Lost & Found

bad news

fantastic

click on this!

Market Update Report

empty account

My eBay ads

25 merchants and rising

CALL FOR INFORMATION!

new reading

Sponsors needed

SCAM alert!!!

Warning!

its easy

free shipping!

Daily Email Reminder

Tools For Your Online Business

New bonus in your cash account

Your Gift

$150 FREE Bonus!

Your News Alert

Get 8 FREE issues - no risk!

Greets!

郵件的附件是被染毒機器上的某個文件名，一般含有如下字符串：

Readme

Setup

Card

Docs

News

Image

Images

Pics

Resume

Photo

Video

Music

Song

Data

附件的文件名是雙擴展名，最後一個擴展名是 EXE、SCR 或 PIF，在一般的計算機中，文件的擴

展名是隱藏的，這樣通常用户只能看到一個擴展名。

4. 線程4啓動時，會打開計算機的36794端口，並通過SMTP服務向外界病毒客户端程序發送用户的一些機密信息，如用户名、用户密碼等。

攻擊打印機，擾亂正常打印

病毒如果檢測到有打印機或者網絡打印機的存在，會將病毒體的二進制代碼隨機取出進行打印，大量浪費墨水和紙張。

Worm.Bugbear-A解決方案

1.瑞星公司已經於截獲病毒的當天進行了緊急升級，瑞星用户只需將軟件升級到15.03及以上的版本可以自動截獲並清除此病毒，望廣大用户及時升級。同時，由於這個病毒在局域網中有極強的傳播能力和破壞性，因此，對於局域網用户，只有安裝了瑞星等廠家提供的網絡版反病毒軟件，才可以徹底根治這個病毒。

2.2002年以後，這個病毒已經被各大主流殺毒軟件收錄，已經沒有傳播的風險。

詞條統計

瀏覽次數：次
編輯次數：9次歷史版本
最近更新：不会说的段子手（2022-06-23）

1 病毒特性
2 解決方案