病毒名称:
W32/Bezilom.worm
类别: 蠕虫
病毒资料:
病毒特征:这是一个用Visual Basic 6进行编写的病毒,它以生成文件的形式出现,而且含有多个组件。生成的文件一旦执行,会显示一JPG格式的黄色图片,同时安装并执行自带的其他组件:
1. MARIA.DOC 多个空格 .EXE – 模仿中毒机器的特洛伊木马
2. MACROSOFTBT.EXE – 假的防毒扫描程序
第一个组件执行后,MARIA.DOC.EXE 会将自身以一个随机的名称(隐藏的文件属性)拷贝至C盘根目录下,同时在Windows目录下以MARIA.DOC .EXE文件存在。此外,病毒还会以指向C:
andom name.exe的单行命令来覆盖自动批处理文件AUTOEXEC.BAT。该过程每重启一次就进行一次,最终病毒副本在系统上越积越多。它还创建注册表运行键,在每次启动时自动执行:HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_
CurrentVersionRun "Startup" = %windir%MARIA.DOC.EXE
第二个组件运行后,会在Program Files目录下创建一个隐藏的MacrosoftBL目录,并将自身(MACROSOFTBL.EXE,隐藏的文件属性)拷贝在此目录下。同时,创建如下注册表运行键使得每次系统重启时,它的假防毒扫描程序能自动运行:HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_
CurrentVersionRun "Macrosoft" = c:program files_
MacrosoftBLMACROSOFTBL.EXE
系统一旦重启,两个组件同时在内存中被激活。经过几次重启后,MARIA.DOC.EXE会导致所有的启动窗口隐藏(除了MacrosoftBL窖口),第二个组件MacrosoftBL即开始引发病毒感染:
点击上述注册链接后,出现一具如何付款的的表单(当然其中的具体内容已删):
该病毒还会添加以下两个键至注册表中,需要用户手动清除:
· HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_
CurrentVersionStart "RegRes1" = 01, 00, 00, 00
· HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_
CurrentVersionStart "REGWord" = 01, 00, 00, 00
中毒迹象:
中毒后,在系统的以下目录中出现以下文件:
· %windir%maria.doc 多个空格 .exe
· c:program filesMacrosoftBLMacrosoftBL.exe
· c:.exe (28,672字节)
· 系统盘中出现MacrosoftBL 图标
传染方式:
该病毒起初是以一个有JPEG图标的单个可执行文件出现,其实这是一个生成的文件,运行后,除了显示黄色图片外,两个病毒组件同时被运行。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
别名:Win32.HLLW.Bezilom (AVP)
新病毒Bezilom 既覆盖文件也带“黄”。
发现日期:
2002-2-21
