细说本.拉登病毒邮件三大特征与两种感染方式教程

据金山反病毒应急处理中心最新分析结果，得出本.拉登邮件三大特征，与两种传染方式。

　　本.拉登病毒的邮件具有如下特征：

　　1、通过搜索ICQ网站来取得邮件地址，使用匿名的方式采用SMTP协议发送带毒邮件。

　　2、该病毒利用了Outlook的MIME漏洞。当我们预览含有病毒邮件时，病毒邮件体内脚本w代码在将被执行，如果计算机上所使用的Outlook浏览器存在该漏洞，计算机将被感染。

　　3、邮件带有一份名为BINLADEN_BRASIL.EXE的附件，该病毒的附件实际上是一个可执行

　　的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后，若Outlook存在漏洞的话，Outlook会认为该附件是一个声音文件而直接执行它。

　　本.拉登病毒感染部分的特征：

　　它有两种感染方式，第一种感染方式不变形，但把文件的入口地址改为0，修改MZ部分文件头，在“MZ”标记后面加上十六进制的EB 4A，它跟“MZ”一起，可以组成如下指令：

　　DEC EBP

　　POP EDX

　　JMP 40004E （注：此为相对跳转，是要跳到MZ头偏移4E出执行，如果文件基地址不是400000H，反汇编出来就不是40004E）

　　而在MZ头部偏移4E的位置，病毒还会加上一些代码，使之能跳到后面的病毒体中去运行，该后部分病毒体未加密，未变形。

　　第二种感染方式不修改MZ头，但使用了一种特殊的变形技术，它将所有的病毒体代码都变换生成变形后的代码，使人无法静态分析。病毒的变形代码将解码后的代码放入堆栈，最后跳入堆栈运行！实际上，在堆栈中的病毒代码和第一种感染方式的后部分代码是一样的。另外，病毒需要在文件中找一些指令（558BEC83EC)，然后，病毒修改它为相对的CALL调用，以便自己获得控制权。

　　无论第一种感染方式还是第二种感染方式，病毒都会检查文件的信息：查询文件长度，如果小于24576字节或者(文件长度-7)/101能整除，就不进行感染。另外，如果文件的节表不正常，病毒也不进行感染。

　　注意，由于病毒感染文件时，没有对齐文件，所以感染后的文件在WinNT、Win2K、WinXP下很可能不能运行（系统提示非法的Win32程序），当然，经过杀毒后，文件可以恢复正常。

　　金山毒霸18日在线升级包已加入对此病毒的查杀，以防本.拉登病毒侵袭，请您升级到最新版。

分页:

购买虚拟主机请与本站联系