 |
国家计算机病毒应急中心一周病毒预报(8.16-8.22)
(2004-8-16) |
|
|
病毒名称:"贝革热"变种(Worm_Bbeagle.AG)
其它命名:W32/Bagle.AJ@mm (F-Secure)
I-Worm.Bagle.al (Kaspersky)
W32/Bagle.aq@MM (McAfee)
W32.Beagle.AO@mm(Symantec)
WORM_BAGLE.AC (Trend)
Win32.Bagle.AG (Computer Associates)
W32/Bagle-AQ (Sophos)
Win32.Bagle.AG(冠群金辰)
病毒长度:19,460字节
病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP/2003
病毒特性:
病毒以染毒邮件的附件形式到达,邮件的标题为空,内容为New price(新的价格)、附件的名称是可变的,但一般都和价格有关系,长度约为19k。提醒用户遇到此类邮件不要打开,应立即删除。病毒运行后在系统文件夹下生成病毒文件,修改注册表,以达到自启动的目的。另外,病毒会删除一些注册表项,同时具有后门功能。
1、生成病毒文件
该病毒运行后在%system%文件夹中生成多个文件
WINdirect.exe
WINDLL.EXE
WINDLL.EXEOPEN
WINDLL.EXEOPENOPEN
re_file.exe
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
病毒修改注册表,以达到随系统启动而自动运行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:
"win_upd.exe"="%System%\WINdirect.exe"
和"erthgdr"="%System%\windll.exe"
3、删除注册表键值
病毒从注册表的以下目录中删除一些包含特定字符的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
包含的特定字符如下:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service
4、通过电子邮件进行传播
病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从多种扩展名的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。
病毒发送的邮件格式如下:
主题:(为空)
正文:New price
附件的名称:(为下列之一)
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price2.zip
price_08.zip
price_new.zip
5、通过共享传播
病毒尝试将自身拷贝到包含字符串"shar"的文件夹中,名称为下列之一
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
6、后门功能
病毒生成的文件会开启TCP80和UDP80端口,该后门可以用来下载和执行文件并可更新病毒。病毒会终止一些和反病毒相关的进程。
清除该病毒的建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE
在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC
选择"任务管理器--〉进程",选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧"win_upd.exe"="%System%\WINdirect.exe"和"erthgdr"="%System%\windll.exe"
3、删除病毒文件
点击"开始-->查找",找到病毒生成的文件WINdirect.exe、WINDLL.EXE、WINDLL.EXEOPEN、WINDLL.EXEOPENOPEN、re_file.exe,并将其删除。
4、运行杀毒软件对系统进行全面的病毒查杀
本周发作:
病毒名称:W97M_ Gurre.A
病毒类型:宏病毒
发作日期:8月20日
危害程度:病毒生成文件c:/w.bat然后运行,这个文件将会对c盘进行格式化
专家提醒:
1、一旦计算机感染病毒,硬盘资料遭受破坏,用户不要急于进行格式化,因为绝大多数病毒不可能在短时间内将硬盘资料全数破坏,应先对当前情况加以分析,并使用一些软件和工具进行数据恢复。
2、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒大范围传播,造成更严重的危害。
|
|  |
|
