病毒名称(中文):
本.拉登
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
其它
病毒长度:
影响系统:
Win9xWinNT
病毒行为:
本.拉登病毒具有的一个很强的特性就是会躲避一般查毒软件的查杀,变化多端,是一种高级变形病毒,加大了查杀难度。
该病毒发的邮件同“尼姆达”病毒、“求职信”病毒一样,也能利用微软的漏洞。被该病毒感染后会在系统中生成任意文件名称的蠕虫体程序,同时修改系统安装文件让蠕虫体程序每次自动运行该程序,它运行后便通过发送邮件复制传播自己。由于,该病毒的机理特性,它能够调用系统中相关数据进行变形来逃脱杀毒软件的查杀。感染该病毒的计算机,会由病毒控制着持续的自动拨号上网,而关机则不易成功。该病毒会每感染一个目标而将自身变化一次。但其信件还是具有一般特性。假如您收到类似“BinLadentoilletepaper!!”标题的信件,请千万不要打开。
本.拉登病毒的邮件具有如下特征:
1、通过搜索ICQ网站来取得邮件地址,使用匿名的方式采用SMTP协议发送带毒邮件。
2、该病毒利用了Outlook的MIME漏洞。当我们预览含有病毒邮件时,病毒邮件体内脚本w代码在将被执行,假如计算机上所使用的Outlook浏览器存在该漏洞,计算机将被感染。
3、邮件带有一份名为BINLADEN_BRASIL.EXE的附件,该病毒的附件实际上是一个可执行
的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后,若Outlook存在漏洞的话,Outlook会认为该附件是一个声音文件而直接执行它。
本.拉登病毒感染部分的特征:
它有两种感染方式,第一种感染方式不变形,但把文件的入口地址改为0,修改MZ部分文件头,在“MZ”标记后面加上十六进制的EB4A,它跟“MZ”一起,可以组成如下指令:
DECEBP
POPEDX
JMP40004E(注:此为相对跳转,是要跳到MZ头偏移4E出执行,假如文件基地址不是400000H,反汇编出来就不是40004E)
而在MZ头部偏移4E的位置,病毒还会加上一些代码,使之能跳到后面的病毒体中去运行,该后部分病毒体未加密,未变形。
第二种感染方式不修改MZ头,但使用了一种非凡的变形技术,它将所有的病毒体代码都变换生成变形后的代码,使人无法静态分析。病毒的变形代码将解码后的代码放入堆栈,最后跳入堆栈运行!实际上,在堆栈中的病毒代码和第一种感染方式的后部分代码是一样的。另外,病毒需要在文件中找一些指令(558BEC83EC),然后,病毒修改它为相对的CALL调用,以便自己获得控制权。
无论第一种感染方式还是第二种感染方式,病毒都会检查文件的信息:查询文件长度,假如小于24576字节或者(文件长度-7)/101能整除,就不进行感染。另外,假如文件的节表不正常,病毒也不进行感染。
注重,由于病毒感染文件时,没有对齐文件,所以感染后的文件在WinNT、Win2K、WinXP下很可能不能运行(系统提示非法的Win32程序),当然,经过杀毒后,文件可以恢复正常。
