发信人: emil()
整理人: emil(1999-11-18 21:21:46), 站内信件
|
VBS_BUBBLEBOY 病毒解析,问题与解答
病毒名称: VBS_BUBBLEBOY
别 名: OUTLOOK.BubbleBoy
病毒类型: VBScript
操作平台: Windows 且安装并启用Scripting Host
版 本: 目前有两个版本(1.0和1.1)。唯一区别是1.1是加密的
发 源 地: 此蠕虫是于近期(1999年11月)被置入网站的
特 征: 文件UPDATE.HTA 被释放到C:\Windows\Start Menu\Programs
\Startup目录。若目录中有UPDATE.HTA文件,就意味着蠕虫感
染成功,接着它就会显示一个假的错误信息请您删除上述文件
(请参看如下错误信息)。
发作条件: 只有当您的IE5安全级别设定为低、中级,蠕虫才会发作。若
安全级别设定为高级,就会使动态脚本(Active Scripting)
失效,从而阻止VBScript代码的正常执行。
有效载荷: 此蠕虫会给您MS Outlook通讯录中所有用户发送垃圾邮件。
简单描述: VBS_BUBBLEBOY 是一个“概念验证(proof of concept)”
Internet邮件蠕虫,无需用户点击附件就可自动执行。它不含
恶性有效载荷。BubbleBoy目前尚不是“肆意传播型病毒(in
the wild)”。BubbleBoy采用Visual Basic Script (VBScript)
编辑且嵌入邮件中, 操作环境要求安装/启用Windows Scripting
Host的IE5以及Microsoft Outlook 或 Outlook Express。
Windows Scripting Host是Windows 98 和 Windows 2000标准
安装程序。 BubbleBoy 可释放UPDATE.HTA文件,而VBScript却
不能独自在Windows NT上运行。 若IE5的安全级别设定为最高,
BubbleBoy就无法被执行了。
详细描述: 此VBS_BubbleBoy蠕虫是在一个用户无意间寄送邮件时传播来的。
含有VBS_BubbleBoy的邮件主题是"BubbleBoy is back!"; 邮件
内容包含一个无效URL和“The BubbleBoy Incident, pictures
and sounds.”文本内容。
在Outlook Express中,若用户通过“预览窗口(Preview
Pane)”阅读邮件时,BubbleBoy就会被激活。而在Microsoft
Outlook中,一旦染毒邮件被开启,BubbleBoy就会自动执行蠕虫
程序。BubbleBoy 一旦发作,就是在C:\WINDOWS\START MENU\
PROGRAMS\STARTUP 目录中释放一个名为UPDATE.HTA 文件。除此
之外别无它恙。
UPDATE.HTA文件路径很难编成VBScript 代码,也就是说此时
会导致程序错误,若您改变Windows根目录缺省设定C:\WINDOWS,
此蠕虫后续有效载荷将无法继续发作。
重新启动系统时,蠕虫将通过UPDATE.HTA文件而激活(此时
亦将显示一个假的错误信息要求用户将上述文件清除)并启用API
功能创建一个Outlook object并(对于多数若干用户系统)显示
一个登录屏幕。 BubbleBoy就会将自己发送到用户通讯录中的所
有地址,然后设定一个注册值以证实邮件发送功能生效,这样一
来,随后收到的BubbleBoy邮件将不再继续向外传播。
请注意只有使用Microsoft Outlook 而不是Outlook Express
时,Bubblyboy才会执行垃圾邮件功能。这主要是因为Outlook
Express功能的局限性所致。
更改系统值: BubbleBoy还会进入注册栏更改系统的注册者为“BubbleBoy”
公司为“Vandelay Industries.”(参照Seinfeld电视节目中
的一个有趣片段)。
第一个变种将注册值设定成:
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.BubbleBoy
1.0 by Zulu
而第二个变种则将值设为:
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.BubbleBoy
1.1 by Zulu.
其它发现:值得注意的是,此蠕虫会发送两次邮件。 这是因为它的VBScript
代码兼容Windows“ Start -> Programs -> Startup”目录结构的
英文和西班牙文两种语言版本。
补救事项: BubbleBoy是由VB 脚本撰写而成,且浏览器要求是安装了Windows
Scripting Host的IE5。Windows Scripting Host是Windows 98 和
Windows 2000标准安装程序。BubbleBoy 在Windows NT上无法运行。
若IE5的安全级别设定为最高,动态脚本组件(Active Scripting
Components)就无法被执行。 Trend强烈要求用户从Microsoft获取
最新的安全补丁程序。 Microsoft的Internet Explorer 5.0用户可
以进入“Tools/ Windows Update”,来获得最新的补丁和插件程序。
FAQ
当我开启含有VBS BubbleBoy邮件时,垃圾邮件是否马上寄送?
不会。它首先是释放UPDATE.HTA文件,而UPDATE.HTA文件才可以启动寄送垃圾
邮件的有效载荷。
此蠕虫有多少个版本?
目前有两个版本,一个是1.0,一个是1.1。但未来会产生多种版本。当前两个
版本的主要区别是,1.1内含加密的VBScript 代码,用户无法察觉。
此蠕虫发作/激活的条件?
此蠕虫能够全面发挥效力,需要特定的环境:
Windows根目录必须是 C:\WINDOWS
必须安装Windows Scripting Host 的Internet Explorer 5
Microsoft Outlook 或Outlook Express
此蠕虫有效载荷是否能作用于Microsoft Outlook, Outlook Express,或是两
者兼可?
由于Outlook Express功能的局限性,只有Microsoft Outlook完整产品能使垃
圾邮件寄送功能生效。
由于Microsoft Outlook 98以前版本的软件欠缺垃圾邮件寄送程序一些必须的
功能,所以使用Microsoft Outlook 98以前版本的用户,会产生一些界面问题。
此蠕虫能否在Lotus Notes上传播?
此蠕虫的VBScript代码利用缺省的MAPI调用Outlook物件。因为Notes用户利用
自己的邮件服务器协议,所以此蠕虫在这样的操作平台上进行传播的希望很渺
茫。
我能否追踪我的哪个通讯录接受过此类垃圾邮件?
此蠕虫所具备的特点与您的问题差之千里。蠕虫一旦驻留您系统,它就会给您
通讯录中所有的地址寄送邮件。
此蠕虫在完成第一步有效载荷后,是否还会继续寄送垃圾邮件?
不会。此蠕虫会在您windows注册表中输入一个值,以证明垃圾邮件成功寄出。
当此值出现在注册表时,它就不会再寄送垃圾邮件啦。
为什么垃圾邮件是我通讯录内容的两倍?
此蠕虫可以在windows英文版和西班牙文版上运行。因其代码的非优化,它会创
建(2)个Outlook物件调用程序而不仅仅是(1)个。
此蠕虫能够在Windows操作系统的所有版本上运行(Windows 3.xx、 Windows 95、
Windows 98、Windows NT和Windows 2000) 吗?
Windows 3.xx – Microsoft Outlook 在此操作平台上不存在
Windows 95 – 有条件 (参看#3)
Windows NT - 与#3和其它相关系统条件相同
Windows 98/2000 - 这些系统上已缺省安装了Windows Scripting Host。此蠕虫
这是利用这个动态脚本开发出来的。
是否有一些措施可确保我的系统不对外发送垃圾邮件?
附上两个分别可抵御这两个版本蠕虫的注册值。因为蠕虫在发送垃圾邮件以前会
先行检查Windows注册值,添加这些注册值至少可制止蠕虫的一个版本不会在您的
系统上发作。
--
欢迎光临“病毒观察” http://bd.yeah.net
“聊毒斋” http://ldz.126.com
http://liaoduzhai.163.net
Email: [email protected]
Oicq:201604
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.144.222]
|
|