Worm.BugBear.B

知识库编号： RSV0511177

内容分类： 蠕虫病毒

关键词： Worm.BugBear.B;怪物II

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

如何清除怪物II（Worm.BugBear.B）病毒？

【病毒评估】

警惕程度：★★★★

发作时间：随机

病毒类型：蠕虫病毒

传播方式：局域网/邮件

感染对象：系统文件/网络

依赖系统: WIN9X//NT/2000/XP

【病毒介绍】

该病毒于2003年6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身，病毒运行时会释放三个病毒体到系统目录，偷取用户键盘信息，监听端口开后门，并且感染文件，在感染的过程中破坏文件结构，使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录，并通过EMAIL地址向外发送大量病毒邮件，造成网络瘫痪等严重后果。

【病毒的发现与清除】

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 该病毒由于感染系统目录，释放的病毒文件名是随机的，因此可以查看一下注册表中的： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中是否有可疑的键值。

2. 病毒运行时会在本地系统监听1080端口，等待控制台端的连入，形成一个病毒后门。该后门会暴露系统的安全信息，并且可以执行一些简单的控制命令，可以用一些端口监听工具查看1080端口。

3. 病毒会每隔20秒就查找一下内存，当发现有下列反病毒软件或防火墙的程序运行时，就会干掉这些程序，使它们失效，以下是病毒可以杀掉的进程：

PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。

如果用户安装了这些软件，并无故出错，则很可能是中了该病毒。

4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播，邮件标题可能为：

Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift! 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。

病毒邮件的附件名可能为：

readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。

病毒邮件附件的扩展名可能为：

.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg

,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。

如果用户收到了有以上内容的信件，则很可能是感染了该病毒。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了怪物II（Worm.BugBear.B）病毒。为避免用户遭受损失，瑞星公司已于截获此病毒当晚就进行了紧急升级，瑞星杀毒软件、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品15.39版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

对于该病毒对用户系统造成的影响，瑞星公司已经推出免费注册表修复工具（下载地址：http://it.rising.com.cn/service/technology/RegClean_download.htm）来进行系统恢复。

• ·ICON语言
• ·一如曩昔
• ·一扫而尽
• ·一扫而空
• ·一扫无遗
• ·2-氨基-5-溴苯甲酸
• ·text-transform
• ·Worm.p2p.fizzer
• ·非标机械
• ·Worm.OpaSoft