computer 版 (精华区)

发信人: seawind (C++,Authoware,Dreamweaver,Linux), 信区: network
标  题: 本·拉登病毒邮件三大特征与两种感染方式
发信站: 听涛站 (2001年11月22日21:13:37 星期四), 站内信件

据金山反病毒应急处理中心最新分析结果，得出本.拉登邮件三大特征，与两种传染方式
。
　　本·拉登病毒的邮件具有如下特征：
　　1、通过搜索ICQ网站来取得邮件地址，使用匿名的方式采用SMTP协议发送带毒邮件
。
　　2、该病毒利用了Outlook的MIME漏洞。当我们预览含有病毒邮件时，病毒邮件体内
脚本w代码在将被执行，如果计算机上所使用的Outlook浏览器存在该漏洞，计算机将被
感染。
　　3、邮件带有一份名为BINLADEN_BRASIL.EXE的附件，该病毒的附件实际上是一个可
执行
　　的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后
，若Outlook存在漏洞的话，Outlook会认为该附件是一个声音文件而直接执行它。
　　本·拉登病毒感染部分的特征：
　　它有两种感染方式，第一种感染方式不变形，但把文件的入口地址改为0，修改MZ部
分文件头，在“MZ”标记后面加上十六进制的EB 4A，它跟“MZ”一起，可以组成如下指
令：
　　DEC EBP
　　POP EDX
　　JMP 40004E （注：此为相对跳转，是要跳到MZ头偏移4E出执行，如果文件基地址不
是400000H，反汇编出来就不是40004E）
　　而在MZ头部偏移4E的位置，病毒还会加上一些代码，使之能跳到后面的病毒体中去
运行，该后部分病毒体未加密，未变形。
　　第二种感染方式不修改MZ头，但使用了一种特殊的变形技术，它将所有的病毒体代
码都变换生成变形后的代码，使人无法静态分析。病毒的变形代码将解码后的代码放入
堆栈，最后跳入堆栈运行！实际上，在堆栈中的病毒代码和第一种感染方式的后部分代
码是一样的。另外，病毒需要在文件中找一些指令（558BEC83EC)，然后，病毒修改它为
相对的CALL调用，以便自己获得控制权。
　　无论第一种感染方式还是第二种感染方式，病毒都会检查文件的信息：查询文件长
度，如果小于24576字节或者(文件长度-7)/101能整除，就不进行感染。另外，如果文件
的节表不正常，病毒也不进行感染。
　　注意，由于病毒感染文件时，没有对齐文件，所以感染后的文件在WinNT、Win2K、
WinXP下很可能不能运行（系统提示非法的Win32程序），当然，经过杀毒后，文件可以
恢复正常。
--
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]