20CN网络安全小组论坛 - 病毒专区

论坛: 病毒专区标题: VBS_BUBBLEBOY病毒

作者: chinared [chinared]

论坛用户

病毒名称: VBS_BUBBLEBOY
别名: OUTLOOK.BubbleBoy
病毒类型: VBScript
操作平台: Windows 且安装并启用Scripting Host
版本: 目前有两个版本（1.0和1.1）。唯一区别是1.1是加密的
发源地: 此蠕虫是于近期（1999年11月）被置入网站的
特征: 文件UPDATE.HTA 被释放到C:\Windows\Start Menu\Programs\Startup目录。若目录中有UPDATE.HTA文件，就意味着蠕虫感染成功，接着它就会显示一个假的错误信息请您删除上述文件（请参看如下错误信息）。
发作条件: 只有当您的IE5安全级别设定为低、中级，蠕虫才会发作。若安全级别设定为高级，就会使动态脚本（Active Scripting失效，从而阻止VBScript代码的正常执行。
有效载荷: 此蠕虫会给您MS Outlook通讯录中所有用户发送垃圾邮件。

简单描述: VBS_BUBBLEBOY 是一个“概念验证（proof of concept）”Internet邮件蠕虫，无需用户点击附件就可自动执行。它不含恶性有效载荷。BubbleBoy目前尚不是“肆意传播型病毒（inthe wild）”。BubbleBoy采用Visual Basic Script (VBScript)编辑且嵌入邮件中，操作环境要求安装/启用Windows ScriptingHost的IE5以及Microsoft Outlook 或 Outlook Express。Windows Scripting Host是Windows 98 和 Windows 2000标准安装程序。 BubbleBoy 可释放UPDATE.HTA文件，而VBScript却不能独自在Windows NT上运行。若IE5的安全级别设定为最高，BubbleBoy就无法被执行了。

详细描述: 此VBS_BubbleBoy蠕虫是在一个用户无意间寄送邮件时传播来的。含有VBS_BubbleBoy的邮件主题是"BubbleBoy is back!"；邮件内容包含一个无效URL和“The BubbleBoy Incident, pictures and sounds.”文本内容。在Outlook Express中，若用户通过“预览窗口（Preview Pane）”阅读邮件时，BubbleBoy就会被激活。而在Microsoft Outlook中，一旦染毒邮件被开启，BubbleBoy就会自动执行蠕虫
程序。BubbleBoy 一旦发作，就是在C:\WINDOWS\START MENU\PROGRAMS\STARTUP 目录中释放一个名为UPDATE.HTA 文件。除此之外别无它恙。
UPDATE.HTA文件路径很难编成VBScript 代码，也就是说此时会导致程序错误，若您改变Windows根目录缺省设定C:\WINDOWS，此蠕虫后续有效载荷将无法继续发作。重新启动系统时，蠕虫将通过UPDATE.HTA文件而激活（此时亦将显示一个假的错误信息要求用户将上述文件清除）并启用API功能创建一个Outlook object并（对于多数若干用户系统）显示一个登录屏幕。 BubbleBoy就会将自己发送到用户通讯录中的所有地址，然后设定一个注册值以证实邮件发送功能生效，这样一来，随后收到的BubbleBoy邮件将不再继续向外传播。
请注意只有使用Microsoft Outlook 而不是Outlook Express时，Bubblyboy才会执行垃圾邮件功能。这主要是因为Outlook Express功能的局限性所致。

更改系统值: BubbleBoy还会进入注册栏更改系统的注册者为“BubbleBoy”公司为“Vandelay Industries.”（参照Seinfeld电视节目中的一个有趣片段）。

第一个变种将注册值设定成：
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.BubbleBoy
1.0 by Zulu

而第二个变种则将值设为：
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.BubbleBoy
1.1 by Zulu.

其它发现：值得注意的是，此蠕虫会发送两次邮件。这是因为它的VBScript
代码兼容Windows“ Start -> Programs -> Startup”目录结构的
英文和西班牙文两种语言版本。

补救事项: BubbleBoy是由VB 脚本撰写而成，且浏览器要求是安装了Windows Scripting Host的IE5。Windows Scripting Host是Windows 98 和Windows 2000标准安装程序。BubbleBoy 在Windows NT上无法运行。若IE5的安全级别设定为最高，动态脚本组件（Active Scripting Components）就无法被执行。 Trend强烈要求用户从Microsoft获取最新的安全补丁程序。 Microsoft的Internet Explorer 5.0用户可
以进入“Tools/ Windows Update”，来获得最新的补丁和插件程序。

FAQ
当我开启含有VBS BubbleBoy邮件时，垃圾邮件是否马上寄送?
不会。它首先是释放UPDATE.HTA文件，而UPDATE.HTA文件才可以启动寄送垃圾邮件的有效载荷。

此蠕虫有多少个版本?
目前有两个版本，一个是1.0，一个是1.1。但未来会产生多种版本。当前两个版本的主要区别是，1.1内含加密的VBScript 代码，用户无法察觉。

此蠕虫发作/激活的条件?
此蠕虫能够全面发挥效力，需要特定的环境：
Windows根目录必须是 C:\WINDOWS
必须安装Windows Scripting Host 的Internet Explorer 5
Microsoft Outlook 或Outlook Express

此蠕虫有效载荷是否能作用于Microsoft Outlook, Outlook Express，或是两者兼可?
由于Outlook Express功能的局限性，只有Microsoft Outlook完整产品能使垃圾邮件寄送功能生效。
由于Microsoft Outlook 98以前版本的软件欠缺垃圾邮件寄送程序一些必须的功能，所以使用Microsoft Outlook 98以前版本的用户，会产生一些界面问题。

此蠕虫能否在Lotus Notes上传播?
此蠕虫的VBScript代码利用缺省的MAPI调用Outlook物件。因为Notes用户利用自己的邮件服务器协议，所以此蠕虫在这样的操作平台上进行传播的希望很渺茫。

我能否追踪我的哪个通讯录接受过此类垃圾邮件?
此蠕虫所具备的特点与您的问题差之千里。蠕虫一旦驻留您系统，它就会给您通讯录中所有的地址寄送邮件。

此蠕虫在完成第一步有效载荷后，是否还会继续寄送垃圾邮件?
不会。此蠕虫会在您windows注册表中输入一个值，以证明垃圾邮件成功寄出。当此值出现在注册表时，它就不会再寄送垃圾邮件啦。

为什么垃圾邮件是我通讯录内容的两倍?
此蠕虫可以在windows英文版和西班牙文版上运行。因其代码的非优化，它会创建（2）个Outlook物件调用程序而不仅仅是（1）个。

此蠕虫能够在Windows操作系统的所有版本上运行(Windows 3.xx、 Windows 95、Windows 98、Windows NT和Windows 2000) 吗?
Windows 3.xx �C Microsoft Outlook 在此操作平台上不存在Windows 95 �C 有条件 (参看#3)
Windows NT - 与#3和其它相关系统条件相同
Windows 98/2000 - 这些系统上已缺省安装了Windows Scripting Host。此蠕虫这是利用这个动态脚本开发出来的。

是否有一些措施可确保我的系统不对外发送垃圾邮件?
附上两个分别可抵御这两个版本蠕虫的注册值。因为蠕虫在发送垃圾邮件以前会先行检查Windows注册值，添加这些注册值至少可制止蠕虫的一个版本不会在您的系统上发作。

地主发表时间: 08/20 10:06

论坛: 病毒专区