Worm.Bugbear-A_病毒数据库

病毒名称: Worm.Bugbear-A 类别：蠕虫病毒病毒资料：      破坏方法:

    该病毒是被压缩过的运行在Windows平台下的可执行程序，大小为50688字节。病毒运行后，把自己复制到system目录下，文件名为随机的4个字母，扩展名为.EXE,释放出来的一个动态链接库文件，大小为5632字节，文件名为随机的6个字母，扩展名为.DLL，这个DLL用于钩子函数,以截获用户的密码。

    通过查注册表得到系统的“开始菜单”-->“程序”-->“启动”的路径。并复制自己到该目录下，文件名为随机的3个字母，扩展名为.EXE。并注册表里

    "Software\Microsoft\Windows
    \CurrentVersion\RunOnce"
    下加入一项，保证系统重启时被执行。然后启动4个线程。

    线程1：

    一直在遍历进程（一次后睡30秒），试图结束常见的反病毒软件的程序，列表如下：

    ZONEALARM.EXE
    WFINDV32.EXE
    WEBSCANX.EXE
    VSSTAT.EXE
    VSHWIN32.EXE
    VSECOMR.EXE
    VSCAN40.EXE
    VETTRAY.EXE
    VET95.EXE
    TDS2-NT.EXE
    TDS2-98.EXE
    TCA.EXE
    TBSCAN.EXE
    SWEEP95.EXE
    SPHINX.EXE
    SMC.EXE
    SERV95.EXE
    SCRSCAN.EXE
    SCANPM.EXE
    SCAN95.EXE
    SCAN32.EXE
    SAFEWEB.EXE
    RESCUE.EXE
    RAV7WIN.EXE
    RAV7.EXE
    PERSFW.EXE
    PCFWALLICON.EXE
    PCCWIN98.EXE
    PAVW.EXE
    PAVSCHED.EXE
    PAVCL.EXE
    PADMIN.EXE
    OUTPOST.EXE
    NVC95.EXE
    NUPGRADE.EXE
    NORMIST.EXE
    NMAIN.EXE
    NISUM.EXE
    NAVWNT.EXE
    NAVW32.EXE
    NAVNT.EXE
    NAVLU32.EXE
    NAVAPW32.EXE
    N32SCANW.EXE

    MPFTRAY.EXE
    MOOLIVE.EXE
    LUALL.EXE
    LOOKOUT.EXE
    LOCKDOWN2000.EXE
    JEDI.EXE
    IOMON98.EXE
    IFACE.EXE
    ICSUPPNT.EXE
    ICSUPP95.EXE
    ICMON.EXE
    ICLOADNT.EXE
    ICLOAD95.EXE
    IBMAVSP.EXE
    IBMASN.EXE
    IAMSERV.EXE
    IAMAPP.EXE
    FRW.EXE
    FPROT.EXE
    FP-WIN.EXE
    FINDVIRU.EXE
    F-STOPW.EXE
    F-PROT95.EXE
    F-PROT.EXE
    F-AGNT95.EXE
    ESPWATCH.EXE
    ESAFE.EXE
    ECENGINE.EXE
    DVP95_0.EXE
    DVP95.EXE
    CLEANER3.EXE
    CLEANER.EXE
    CLAW95CF.EXE
    CLAW95.EXE
    CFINET32.EXE
    CFINET.EXE
    CFIAUDIT.EXE
    CFIADMIN.EXE
    BLACKICE.EXE
    BLACKD.EXE
    AVWUPD32.EXE
    AVWIN95.EXE
    AVSCHED32.EXE
    AVPUPD.EXE
    AVPTC32.EXE
    AVPM.EXE
    AVPDOS32.EXE
    AVPCC.EXE
    AVP32.EXE
    AVP.EXE
    AVNT.EXE
    AVKSERV.EXE
    AVGCTRL.EXE
    AVE32.EXE
    AVCONSOL.EXE
    AUTODOWN.EXE
    APVXDWIN.EXE
    ANTI-TROJAN.EXE
    ACKWIN32.EXE
    _AVPM.EXE
    _AVPCC.EXE
    _AVP32.EXE

    线程2：

    局域网传染，遍历所有的网络资源，找到后尝试这些动作。
    把自己复制到\\xxxxx\$C\Documents and Settings\xxxx\「开始」菜单\程序\启动\(机器名)
    (用户名)

    线程3：

    向外发送邮件。邮件没有正文，附件为病毒自身，邮件的标题是下列字符串的一种：


    Hello!
    update
    Payment notices
    Just a reminder
    Correction of errors
    history screen
    Announcement
    various
    IntrodUCtion
    Interesting...
    I need help about script!!!
    Please Help...
    Report
    Membership Confirmation
    Get a FREE gift!
    Today Only
    New Contests
    Lost & Found
    bad news
    fantastic
    click on this!
    Market Update Report
    empty account
    My eBay ads
    25 merchants and rising
    CALL FOR INFORMATION!
    new reading
    Sponsors needed
    SCAM alert!!!
    Warning!
    its easy
    free shipping!
    Daily Email Reminder
    Tools For Your Online Business
    New bonus in your cash account
    Your Gift
    $150 FREE Bonus!
    Your News Alert
    Get 8 FREE issues - no risk!
    Greets!

    附件的文件名是被染毒机器上的某个文件名，可能含有如下字符串：

    Readme
    Setup
    Card
    Docs
    News
    Image
    Images
    Pics
    Resume
    Photo
    Video
    Music
    Song
    Data
    附件的文件名有两个扩展名，最后一个扩展名是 EXE，SCR 或 PIF.

    线程4：

    开了个端口:36794,通过SMTP向外发送用户的一些机密信息，如用户名，用户密码等。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2002-10-3