| 细说拉登病毒邮件三大特征与两种感染方式 |
|
|
| 新浪科技 新浪科技 2001-11-23 |
据金山反病毒应急处理中心最新分析结果,本.拉登邮件具有三大特征与两种传染方式。
本.拉登病毒的邮件具有如下特征:
1.通过搜索ICQ网站取得邮件地址,使用匿名方式采用SMTP协议发送带毒邮件。
2.该病毒利用Outlook的MIME漏洞,当预览含有病毒的邮件时执行脚本w代码。如果计算机上使用的Outlook浏览器存在该漏洞,计算机将被感染。
3。邮件带有的一份名为BINLADEN_BRASIL.EXE的附件是一个可执行文件。因此,若Outlook存在漏洞的话,当收到该信件后会认为是一个声音文件而直接执行它。
本.拉登病毒感染部分的特征:
有两种感染方式。第一种感染方式不变形,但把文件的入口地址改为0,修改MZ部分文件头,在“MZ”标记后面加上十六进制的EB 4A,跟“MZ”一起组成如下指令:
DEC EBP
POP EDX
JMP 40004E
注:此为相对跳转,是要跳到MZ头偏移4E出执行。如果文件地址不是400000H,反汇编出来就不是40004E,而在MZ头部偏移4E的位置。病毒还会加上一些代码,使之能跳到后面的病毒体中去运行,该后部分病毒体未加密,未变形。
第二种感染方式不修改MZ头,但使用了一种特殊的变形技术,将所有的病毒体代码都变换生成变形后的代码,使人无法静态分析。病毒的变形代码将解码后的代码放入堆栈,最后跳入堆栈运行!实际上,在堆栈中的病毒代码和第一种感染方式的后部分代码是一样的。另外,病毒需要在文件中找一些指令(558BEC83EC),然后修改为相对的CALL调用,以便获得控制权。
无论第一种感染方式还是第二种感染方式,病毒都会检查文件的信息:查询文件长度,如果小于24576字节或者(文件长度-7)/101能整除,就不进行感染。另外,如果文件的节表不正常,病毒也不进行感染。
注意,由于病毒感染文件时,没有对齐文件,所以感染后的文件在WinNT、Win2K、WinXP下很可能不能运行(系统提示非法的Win32程序),当然,经过杀毒后,文件可以恢复正常。
金山毒霸在线升级包已加入对此病毒的查杀,以防本.拉登病毒侵袭,网址www.iduba.net。
|
|
|
|
|
 |
|
|
|
|
|
|
|
