● 本.拉登病毒邮件三大特征与两种感染方式 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: suxinmiao (Ctrl+Shift+N), 信区: Virus
标  题: 本.拉登病毒邮件三大特征与两种感染方式
发信站: 荔园晨风BBS站 (Sat Dec  8 09:32:37 2001), 转信

   本.拉登病毒的邮件具有如下特征：
　　1、通过搜索ICQ网站来取得邮件地址，使用匿名的方式采用SMTP协议发送带毒
邮件。
　　2、该病毒利用了Outlook的MIME漏洞。当我们预览含有病毒邮件时，病毒邮件
体内脚本w代码在将被执行，如果计算机上所使用的Outlook浏览器存在该漏洞，计
算机将被感染。
　　3、邮件带有一份名为BINLADEN_BRASIL.EXE的附件，该病毒的附件实际上是一
个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到
该信件后，若Outlook存在漏洞的话，Outlook会认为该附件是一个声音文件而直接
执行它。

　　本.拉登病毒感染部分的特征：
　　它有两种感染方式，第一种感染方式不变形，但把文件的入口地址改为0，修
改MZ部分文件头，在“MZ”标记后面加上十六进制的EB 4A，它跟“MZ”一起，可
以组成如下指令：
　　DEC EBP
　　POP EDX
　　JMP 40004E （注：此为相对跳转，是要跳到MZ头偏移4E出执行，如果文件基
地址不是400000H，反汇编出来就不是40004E）
　　而在MZ头部偏移4E的位置，病毒还会加上一些代码，使之能跳到后面的病毒体
中去运行，该后部分病毒体未加密，未变形。
　　第二种感染方式不修改MZ头，但使用了一种特殊的变形技术，它将所有的病毒
体代码都变换生成变形后的代码，使人无法静态分析。病毒的变形代码将解码后的
代码放入堆栈，最后跳入堆栈运行！实际上，在堆栈中的病毒代码和第一种感染方
式的后部分代码是一样的。另外，病毒需要在文件中找一些指令（558BEC83EC)，
然后，病毒修改它为相对的CALL调用，以便自己获得控制权。
　　无论第一种感染方式还是第二种感染方式，病毒都会检查文件的信息：查询文
件长度，如果小于24576字节或者(文件长度-7)/101能整除，就不进行感染。另外
，如果文件的节表不正常，病毒也不进行感染。
　　注意，由于病毒感染文件时，没有对齐文件，所以感染后的文件在WinNT、
Win2K、WinXP下很可能不能运行（系统提示非法的Win32程序），当然，经过杀毒
后，文件可以恢复正常。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.41.114]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店