本.拉登病毒的邮件具有如下特征:
1、通过搜索ICQ网站来取得邮件地址,使用匿名的方式采用SMTP协议发送带毒邮件。
2、该病毒利用了Outlook的MIME漏洞。当我们预览含有病毒邮件时,病毒邮件体内脚本w代码在将被执行,如果计算机上所使用的Outlook浏览器存在该漏洞,计算机将被感染。
3、邮件带有一份名为BINLADEN_BRASIL.EXE的附件,该病毒的附件实际上是一个可执行
的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后,若Outlook存在漏洞的话,Outlook会认为该附件是一个声音文件而直接执行它。
本.拉登病毒感染部分的特征:
它有两种感染方式,第一种感染方式不变形,但把文件的入口地址改为0,修改MZ部分文件头,在“MZ”标记后面加上十六进制的EB 4A,它跟“MZ”一起,可以组成如下指令:
DEC EBP
POP EDX
JMP 40004E (注:此为相对跳转,是要跳到MZ头偏移4E出执行,如果文件基地址不是400000H,反汇编出来就不是40004E)
而在MZ头部偏移4E的位置,病毒还会加上一些代码,使之能跳到后面的病毒体中去运行,该后部分病毒体未加密,未变形。
第二种感染方式不修改MZ头,但使用了一种特殊的变形技术,它将所有的病毒体代码都变换生成变形后的代码,使人无法静态分析。病毒的变形代码将解码后的代码放入堆栈,最后跳入堆栈运行!实际上,在堆栈中的病毒代码和第一种感染方式的后部分代码是一样的。另外,病毒需要在文件中找一些指令(558BEC83EC),然后,病毒修改它为相对的CALL调用,以便自己获得控制权。
无论第一种感染方式还是第二种感染方式,病毒都会检查文件的信息:查询文件长度,如果小于24576字节或者(文件长度-7)/101能整除,就不进行感染。另外,如果文件的节表不正常,病毒也不进行感染。
注意,由于病毒感染文件时,没有对齐文件,所以感染后的文件在WinNT、Win2K、WinXP下很可能不能运行(系统提示非法的Win32程序),当然,经过杀毒后,文件可以恢复正常。
金山毒霸18日在线升级包已加入对此病毒的查杀,以防本.拉登病毒侵袭,请您升级到最新版。
http://m.hzclsc.cn/shouyou/18692.html
推荐访问:
