病毒标签

　　病毒名称：Net-Worm.Win32.Bobic.k

　　病毒类型：蠕虫

　　危害等级：高

　　文件长度：1146968字节

　　感染系统：Win9x以上所有版本

　　开发工具：VC++6.0

　　加壳类型：未知壳

　　病毒描述

　　该蠕虫启动后，首先把到%system%目录下释放出两个文件（文件名随机，一个大小是1146968字节，另外一个大小是143872字节），再到注册表启动项中把自己加入以便随系统启动，另外，该蠕虫为了保证自己随系统启动，它会感染启动项中所有随系统启动的可执行文件（但不会感染系统自带的系统启动文件）。 然后把自己注入到explorer.exe进程中，注入的线程判断当前是否有网络连接，如果当前网络已连接的话，蠕虫就开始常规动作，对外疯狂发包，感染其他有漏洞的机器。并且蠕虫为了实现进程互锁。它会在%temp%目录下先释放出~1.tmp.exe，然后把自己复制到当前目录下重命名成~2.tmp.exe，并删除~1.tmp.exe，接着又重复制~3.tmp.exe，再删除~2.tmp.exe，以此类推。文件名形式是~X.tmp.exe，这里X是以16进制表示。代表文件被创建的次数。这样一方面是为了监督注入explorer.exe线程的存在，另一方面使自己的在进程列表中的进程名不停的变化。防止进程被删除！

　　行为分析

　　1、 该病毒将自身复制到%system%下， 文件名随机。

　　2、将自身添加到注册表中保证自己被启动：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　键名（键名随机）“fot” 键值：“C:WINDOWSSystem32nhloxepff.exe”（文件名随机）

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices

　　键名（键名随机）“fot” 键值：“C:WINDOWSSystem32hzvhayiqcwcw.exe”（文件名随机）

　　3、进行线程注入和蠕虫行为。

　　4、感染所有在“Run”启动项以及“Runservices”启动项中随系统启动的非系统文件。

　　5、每重启一次系统，病毒都会把自己在当前用户%temp%目录下从新复制一份，由于每个病毒大小大约为1MB，这就等于用户每重启一次系统盘空间就减少1MB。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。