2005.6.13-2005.6.19

　　国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现了新蠕虫Worm_Bobax.P。这个是一个常驻内存型的蠕虫，它利用电子邮件进行传播。该蠕虫还可以利用Windows的LSASS的漏洞进行传播，同时会修改系统的HOSTS文件，阻止用户访问某些反病毒网站。

蠕虫具体特征如下：
病毒名称：Worm_Bobax.P
感染系统：Win9x/WinNT/Win2000/WinXP/Win ME
病毒长度：31,232字节

病毒特征：

1、生成文件

　　蠕虫运行后，会在%Windows%目录下生成一个随机命名的自身拷贝文件，同时在目录%Windows%中的临时文件夹中生成一个名为~DF7.TMP的动态链接库（DLL）组件。（其中，%Windows% 为操作系统的安装目录，通常为C:\Windows 或 C:\WINNT）

2、修改注册表项

　　蠕虫会创建注册表项，使得自身能够在系统启动时自动运行，会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加{蠕虫随机的文件名} = "{该文件名}"，如disrr="disrr"

3、通过电子邮件进行传播

　　蠕虫在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用自带的SMTP向这些地址发送带毒的电子邮件。

4、利用Windows漏洞进行网络传播

　　该蠕虫会利用Windows 的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞，可以允许执行远程代码并使攻击者获取受感染系统的控制权。同时，该蠕虫通过利用受感染系统的漏洞发送数据包，并在一个特殊的位置创建自身的拷贝。

5、其他功能

　　该蠕虫会编辑系统的HOSTS文件，该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站，以保护蠕虫自身，形成更大范围的扩散。

手工清除：

1、重启后进入安全模式；

2、打开任务管理器，找到病毒对应的进程（如disrr.exe），结束该进程；

3、打开注册表编辑器，找到注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，删除该项中的键值，如disrr="disrr"；

4、清除HOSTS文件中的病毒键。使用文本编辑器（如记事本）打开如下文件：%System%\drivers\etc\HOSTS,删除HOSTS文件中有关反病毒的网址字符串，保存文件并关闭注册表编辑器。（其中，%System%通常为C:\Windows\System或C:\WINNT\System32）

5、没有打LSASS漏洞补丁程序的计算机，立即给系统安装漏洞补丁。

本周发作：

病毒名称：“求职信”变种（Worm_Klez.C）
病毒类型：电子邮件蠕虫病毒
发作日期：6月13日
危害程度：病毒向外发送带毒邮件，终止反病毒软件的运行，并在13日用垃圾数据覆盖电脑中的有效数据。

专家提醒：

1、计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒在更大范围内传播，造成更严重的危害。由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。

2、提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙”，做好预防工作。

3、由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。