W32/Bezilom.worm_病毒数据库

病毒名称: W32/Bezilom.worm 类别：蠕虫病毒资料：      病毒特征：这是一个用Visual Basic 6进行编写的病毒，它以生成文件的形式出现，而且含有多个组件。生成的文件一旦执行，会显示一JPG格式的黄色图片，同时安装并执行自带的其他组件：

    1. MARIA.DOC 多个空格 .EXE – 模仿中毒机器的特洛伊木马

    2. MACROSOFTBT.EXE – 假的防毒扫描程序

    第一个组件执行后，MARIA.DOC.EXE 会将自身以一个随机的名称（隐藏的文件属性）拷贝至C盘根目录下，同时在Windows目录下以MARIA.DOC .EXE文件存在。此外，病毒还会以指向C:

    andom name.exe的单行命令来覆盖自动批处理文件AUTOEXEC.BAT。该过程每重启一次就进行一次，最终病毒副本在系统上越积越多。它还创建注册表运行键，在每次启动时自动执行：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_

    CurrentVersionRun "Startup" = ％windir％MARIA.DOC.EXE

    第二个组件运行后，会在Program Files目录下创建一个隐藏的MacrosoftBL目录，并将自身（MACROSOFTBL.EXE，隐藏的文件属性）拷贝在此目录下。同时，创建如下注册表运行键使得每次系统重启时，它的假防毒扫描程序能自动运行：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_

    CurrentVersionRun "Macrosoft" = c:program files_

    MacrosoftBLMACROSOFTBL.EXE

    系统一旦重启，两个组件同时在内存中被激活。经过几次重启后，MARIA.DOC.EXE会导致所有的启动窗口隐藏（除了MacrosoftBL窖口），第二个组件MacrosoftBL即开始引发病毒感染：

    点击上述注册链接后，出现一具如何付款的的表单（当然其中的具体内容已删）：

    该病毒还会添加以下两个键至注册表中，需要用户手动清除：

    · HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_

    CurrentVersionStart "RegRes1" = 01, 00, 00, 00

    · HKEY_LOCAL_MACHINESoftwareMicrosoftWindows_

    CurrentVersionStart "REGWord" = 01, 00, 00, 00

    中毒迹象：

    中毒后，在系统的以下目录中出现以下文件：

    · ％windir％maria.doc 多个空格 .exe

    · c:program filesMacrosoftBLMacrosoftBL.exe

    · c:<随机名>.exe (28,672字节)


    · 系统盘中出现MacrosoftBL 图标

    传染方式：

    该病毒起初是以一个有JPEG图标的单个可执行文件出现，其实这是一个生成的文件，运行后，除了显示黄色图片外，两个病毒组件同时被运行。

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      别名：Win32.HLLW.Bezilom (AVP)

    新病毒Bezilom 既覆盖文件也带“黄”。
发现日期： 2002-2-21