微点交流论坛 - 病毒快报 - 蠕虫程序 Net-Worm.Win32.Bobic.hn

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 蠕虫程序 Net-Worm.Win32.Bobic.hn

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 蠕虫程序 Net-Worm.Win32.Bobic.hn

病毒名称

Net-Worm.Win32.Bobic.hn

捕获时间

2007-10-13

病毒症状

   该病毒是一个使用VC++ 6.0编写的蠕虫程序，长度为101,623 字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为邮件传播、网络传播。

病毒分析

   该蠕虫程序激活后，在%temp%文件夹下生成~3.TMP.EXE、~4.TMP.EXE等文件，在%systemroot%\system32下生成vftztz.exe、winamp.exe、algs.exe等文件；修改注册表，在HKLM下的RUN里新建两个子项，分别指向algs.exe和vftztz.exe文件，以达到病毒能随系统启动的目的；修改注册表禁用windows防火墙；盗用用户计算机上的Outlook Express，通过邮件发送以达到更大的传播范围；修改用户计算机中%systemroot%\system32\drivers\etc下的host文件，使得用户无法访问部分杀毒软件公司的网页，无法正常更新杀毒软件。

病毒添加启动项：

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：vgdtJa`Ysmzmjzp
指向文件：%systemroot%\system32\vftztz.exe

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：Application Layer Gateway Service
指向文件：%systemroot%\system32\ algs.exe

病毒修改的注册表项：
项：HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
键值：Start
数值数据：00000002

项：HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile
键值：EnableFirewall
数值数据：00000000

项：HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile
键值：DoNotAllowExceptions
数值数据：00000000

感染对象

Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003

传播途径

局域网传播、可移动存储

安全提示

   已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

图1
如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Net-Worm.Win32.Bobic.hn”，请直接选择删除（如图2）。

                        图2

   使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会导致某些杀毒软件无法正常使用，如果您的杀毒软件已经无法正常使用，您也可以尝试安装微点解决。

   没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2007-10-14 18:50

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号