Worm.Bugbear.h_病毒数据库

病毒名称: Worm.Bugbear.h 类别：蠕虫病毒资料：      破坏方法：

    该病毒是：“Worm.Bugbear”的新变种

    一旦执行，病毒将执行如下动作：

    显示一个消息框：
    内容为：bad CRC 23bb8dea (should be 0be7841c).
    用以伪装欺骗用户。

    1.复制到系统目录：

    ％SYSDIR％\<随机名>.exe

    释放数个文件，文件名随机，其中有一个是病毒：

    “Worm.Bugbear-A.dll 在系统目录下创建一个随机名的文件：

    <随机>.tmp

    此文件是一个zip压缩文件，包含病毒

    2.病毒添加如下值：

    "<随机名>" = "％SYSDIR％\<随机名>.exe"

    到注册表的启动项：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run

    3.病毒将试图终止下列进程的运行：

    _AVP32.EXE
    _AVPCC.EXE
    _AVPM.EXE
    ACKWIN32.EXE
    ANTI-TROJAN.EXE
    APVXDWIN.EXE
    AUTODOWN.EXE
    AVCONSOL.EXE
    AVE32.EXE
    AVGCTRL.EXE
    AVKSERV.EXE
    AVNT.EXE
    AVP.EXE
    AVP32.EXE
    AVPCC.EXE
    AVPDOS32.EXE
    AVPM.EXE
    AVPTC32.EXE
    AVPUPD.EXE
    AVSCHED32.EXE
    AVWIN95.EXE
    AVWUPD32.EXE
    BLACKD.EXE
    BLACKICE.EXE
    CFIADMIN.EXE
    CFIAUDIT.EXE
    CFINET.EXE
    CFINET32.EXE
    CLAW95.EXE
    CLAW95CF.EXE
    CLEANER.EXE

    CLEANER3.EXE
    DVP95.EXE
    DVP95_0.EXE
    ECENGINE.EXE
    ESAFE.EXE
    ESPWATCH.EXE
    F-AGNT95.EXE
    F-PROT.EXE
    F-PROT95.EXE
    F-STOPW.EXE
    FINDVIRU.EXE
    FP-WIN.EXE
    FPROT.EXE
    FRW.EXE
    IAMAPP.EXE
    IAMSERV.EXE
    IBMASN.EXE
    IBMAVSP.EXE
    ICLOAD95.EXE
    ICLOADNT.EXE
    ICMON.EXE
    ICSUPP95.EXE
    ICSUPPNT.EXE
    IFACE.EXE
    IOMON98.EXE
    JEDI.EXE
    LOCKDOWN2000.EXE
    LOOKOUT.EXE
    LUALL.EXE
    MOOLIVE.EXE
    MPFTRAY.EXE
    N32SCANW.EXE
    NAVAPW32.EXE
    NAVLU32.EXE
    NAVNT.EXE
    NAVW32.EXE
    NAVWNT.EXE
    NISUM.EXE
    NMAIN.EXE
    NORMIST.EXE
    NUPGRADE.EXE
    NVC95.EXE
    OUTPOST.EXE
    PADMIN.EXE
    PAVCL.EXE
    PAVSCHED.EXE
    PAVW.EXE
    PCCWIN98.EXE
    PCFWALLICON.EXE
    PERSFW.EXE
    RAV7.EXE
    RAV7WIN.EXE
    RESCUE.EXE
    SAFEWEB.EXE
    SCAN32.EXE
    SCAN95.EXE
    SCANPM.EXE
    SCRSCAN.EXE
    SERV95.EXE
    SMC.EXE
    SPHINX.EXE
    SWEEP95.EXE
    TBSCAN.EXE
    TCA.EXE
    TDS2-98.EXE
    TDS2-NT.EXE
    VET95.EXE
    VETTRAY.EXE
    VSCAN40.EXE
    VSECOMR.EXE
    VSHWIN32.EXE
    VSSTAT.EXE
    WEBSCANX.EXE

    WFINDV32.EXE
    ZONEALARM.EXE


    4.病毒从如下扩展名的文件中搜索Email地址：

    .ASP
    .dbx
    .eml
    .htm
    .mbx
    .mmf
    .nch
    .ods
    .sht
    .tbb
    .txt

    病毒使用自己的 SMTP 引擎来向搜索到的 Email地址发送邮件，伺机感染。

    发送的邮件带有如下特征：

    发送人：
    这个 From 处的名称是假的，包含病毒体内所带的字符串

    <如：kerry，margareta等>或搜索到的mail地址

    主题： (下列之一)
    !!! WARNING !!!
    ;)
    Announcement
    Friendly
    Fwd:
    Greetings!
    Greets!
    Hello!
    Hi!
    I cannot forget you!
    I love you!
    I need photo!!!
    Interesting...
    IntrodUCtion
    Is that your passWord?
    Just a reminder
    Lost & Found
    Love
    Me nude
    New Contests
    News
    Old photos
    Payment notices
    Please Help...
    Re:
    Report
    Sex pictures
    Stats
    Today Only
    Warning!
    You are fat!
    Your Gift
    [Fwd: look] ;-)
    bad news
    empty account
    fantastic

    good news!
    history screen
    hmm..
    look
    new reading
    photo
    photos
    sexy
    update
    various
    wow!

    正文: (下列之一)
    Pease open an attachment to see
    the message.
    Please see Attachment
    See the attached file
    See the attached file for more info
    Take a look to the attachment
    please,read the attach file.
    see attachment

    附件：
    附件名从被感染的机器上随机选取，扩展名可能为.zip或,scr，其中带有大量空格，
    包含的串可能带有：

    a000032.jpg
    girls.jpg
    im
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2004-5-11