病毒名称(中文):
波比变种k
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
其它
病毒长度:
39743
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过电子邮件传播的蠕虫病毒。该病毒会将系统的安全级别降到最低,禁止用户访问某些闻名的安全网站,从Windows地址薄、WindowsMessenger联系人列表和.htm、.txt、.dbx三种文件中收集邮件地址,再将病毒做为附件发送给这些邮件接收者。在收集邮件地址的时候,病毒会自动跳过带有某些字眼的地址,以防止被反病毒厂商截获。病毒邮件声称附件无毒,诱骗用户去打开附件。该病毒还会自动连接到预先设定好的HTTP服务器进行版本更新.与以前变种不同的是,该变种会感染启动项中的文件.
1)将自己拷贝到%System%\[随机字母].exe
2)在注册表中添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"[随机字母]"="%System%\[随机字母].exe"
3)释放一个[随机名字].tmp的临时文件到%Temp%目录下,该文件其实是一个.dll文件,是病毒的主要功能模块;病毒会将该.dll文件注入到explorer.exe,winlogon.exe,lsass.exe的进程中,并终止调用自己的进程[随机字母].exe。
4)将以下内容添加到%System%\drivers\hosts文件中,禁止用户访问这些安全网站:
255.255.255.255ar.atwola.comatdmt.comavp.chavp.comavp.ruawaps.netca.comdispatch.mcafee.comdownload.mcafee.comdownload.microsoft.comdownloads.microsoft.comengine.awaps.netf-secure.comftp.f-secure.comftp.sophos.comgo.microsoft.comliveupdate.symantec.commast.mcafee.commcafee.commsdn.microsoft.commy-etrust.comnai.comnetworkassociates.comoffice.microsoft.comphx.corporate-ir.netsecure.nai.comsecurityresponse.symantec.comservice1.symantec.comsophos.comspd.atdmt.comsupport.microsoft.comsymantec.comupdate.symantec.comupdates.symantec.comus.mcafee.comvil.nai.comviruslist.ruwindowsupdate.microsoft.comwww.avp.chwww.avp.comwww.avp.ruwww.awaps.netwww.ca.comwww.f-secure.comwww.kaspersky.ruwww.mcafee.comwww.my-etrust.comwww.nai.comwww.networkassociates.comwww.sophos.comwww.symantec.comwww.trendmicro.comwww.viruslist.comwww.viruslist.ruwww3.ca.com
5)通过修改注册表来降低系统的安全级别:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter
"AntivirusDisableNotify"="1"
"FirewallDisableNotify"="1"
"FirewallOverride"="1"
"UpdatesDisableNotify"="1"
6)利用Windows系统的(MS05-039)来传播到没有打该漏洞补丁的机器上。
7)从Windows地址薄、WindowsMessenger联系人列表和以下三种文件中收集邮件地址:
.htm
.txt
.dbx
跳过带有以下串的邮件地址:
ogle
yaho
help
admi
ter@
micr
msn.
hotm
supp
yman
viru
tren
secu
.mil
urhq
pand
afee
soph
kasp
.gov
nort
8)邮件可能形式:
主题:
SaddamHussein-AttemptedEscape,Shotdead
正文:
Attachedsomepicsthatifound
主题:
OsamaBinLadenCaptured.
正文:
Attachedsomepicsthatifound
主题:
Hey,
正文:
Rememberthis?
主题:
Testing
正文:
Secret!
主题:
Hey,
正文:
Iwasgoingthroughmyalbum,andlookwhatIfound..
主题:
Hello,
正文:
Longtime!Checkthisout!
主题:
Hey,
正文:
Checkthisout:-)
邮件中可能包含以下信息:
+++Attachment:NoVirusfound
+++Youareprotected
+++<一个伪造的URL>
附件名:
Cool
pics
funny
bush
joke
secret
附件扩展名:
.pif
.src
.exe
.zip
8)病毒可能会从以下站点:
download.yahoo.com
ftp.scarlet.be
ftp.newaol.com
g.msn.com
下载并没有恶意的文件:
msgr6suite.exe
FirefoxSetup1.0.exe
Install_AIM.exe
SETUPDL.EXE
9)连接到几个预先设定好的HTTP服务器来更新自己。
10.并且通过调用cmd.exe运行以下命令:
"netsh.exefirewallsetopmodemode=disableprofile=all"
"sc.execonfigSharedAccessstart=disabled"
11.选择注册表起始项中的起始文件感染.
