知识库编号: RSV0511177
内容分类: 蠕虫病毒
关键词: Worm.BugBear.B;怪物II
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
如何清除怪物II(Worm.BugBear.B)病毒?
【病毒评估】
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播方式:局域网/邮件
感染对象:系统文件/网络
依赖系统: WIN9X//NT/2000/XP
【病毒介绍】
该病毒于2003年6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身,病毒运行时会释放三个病毒体到系统目录,偷取用户键盘信息,监听端口开后门,并且感染文件,在感染的过程中破坏文件结构,使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录,并通过EMAIL地址向外发送大量病毒邮件,造成网络瘫痪等严重后果。
【病毒的发现与清除】
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
1. 该病毒由于感染系统目录,释放的病毒文件名是随机的,因此可以查看一下注册表中的: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中是否有可疑的键值。
2. 病毒运行时会在本地系统监听1080端口,等待控制台端的连入,形成一个病毒后门。该后门会暴露系统的安全信息,并且可以执行一些简单的控制命令,可以用一些端口监听工具查看1080端口。
3. 病毒会每隔20秒就查找一下内存,当发现有下列反病毒软件或防火墙的程序运行时,就会干掉这些程序,使它们失效,以下是病毒可以杀掉的进程:
PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。
如果用户安装了这些软件,并无故出错,则很可能是中了该病毒。
4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播,邮件标题可能为:
Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift! 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。
病毒邮件的附件名可能为:
readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。
病毒邮件附件的扩展名可能为:
.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg
,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。
如果用户收到了有以上内容的信件,则很可能是感染了该病毒。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了怪物II(Worm.BugBear.B)病毒。为避免用户遭受损失,瑞星公司已于截获此病毒当晚就进行了紧急升级,瑞星杀毒软件、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品15.39版已可清除此病毒,目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。
对于该病毒对用户系统造成的影响,瑞星公司已经推出免费注册表修复工具(下载地址:http://it.rising.com.cn/service/technology/RegClean_download.htm)来进行系统恢复。