病毒評估
1.病毒中文名:惡鷹2.病毒英文名:Worm.Bbeagle.q
3.病毒大小:26,557位元組
4.病毒類型:蠕蟲病毒
5.病毒危險等級:★★★★
6.病毒傳播途徑:網路,檔案感染
7.病毒依賴系統:Windows 9X/NT/2000/XP
病毒的破壞
病毒建立兩個服務執行緒分別監聽81和2556連線埠,給系統留後門,並駐留記憶體不斷對磁碟進行遍歷,進行郵件傳播,檔案感染,大大降低系統性能。病毒報告
UPX壓縮,VC++6.0編寫,蠕蟲。一旦執行,病毒將自我複製到系統資料夾.檔案名稱為:direct.exe及direct.exeopen
它將創建下列註冊表鍵值來使自己隨Windows系統自啟動:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" direct.exe "="%SYSDIR%\ direct.exe"
病毒將刪除一些註冊表鍵值:
HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
及HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的以下鍵:
My AV,Zone Labs Client Ex,9XhtProtect,Antivirus,Special Firewall Service,service
Tiny AV,ICQNet,HtProtect,NetDy,ICQ Net
監視:
病毒建立一個執行緒,對系統進行監控。殺死進程名和體內“黑名單”中相符的進程。
以下是病毒體內的進程“黑名單”
CMGRDIAN.EXE,CMON016.EXE,CPF9X206.EXE,CPFNT206.EXE,CWNB181.EXE,
CWNTDWMO.EXE,FP-WIN_TRIAL.EXE,FSAV.EXE,ICLOAD95.EXE,ICLOADNT.EXE,HACKTRACERSETUP.EXE,KAVLITE40ENG.EXE,AUPDATE.EXE,HWPE.EXE等等..
郵件,PE檔案傳播:
病毒遍歷系統磁碟,當發現擴展名為:.wab,.txt,.msg,.htm,.shtm,.stm,.xml,.dbx,
.mbx,.mdx,.eml,.nch,.mmf,.ods,.cfg,.asp,.php,.pl,.wsh,.adb,.tbb,.sht,.xls,.oft,.uin,
.cgi,.mht,.dhtm,.jsp時病毒將打開該檔案並嘗試從中提取email地址並向該地址傳送帶
毒郵件。
當擴擴展名為:.exe的病毒將嘗試對其進行檔案感染。
在遍歷過程中,當目錄名存在“shar”字串時,病毒將自己複製到該目錄下,檔案名稱為
:Microsoft Office 2003 Crack,Working!.exe,Microsoft Windows XP,WinXP Crack,working Keygen.exe,Microsoft Office XP working Crack,Keygen.exe,Porno,sex,oral,anal cool,awesome!!.exe,Porno Screensaver.scr,Serials.txt.exe,Porno pics arhive,xxx.exe,Windows Sourcecode update.doc.exe,Ahead Nero 7.exe,Windown Longhorn Beta Leak.exe,Opera 8 New!.exe,XXX hardcore images.exe,WinAmp 6 New!.exe,WinAmp 5 Pro Keygen Crack Update.exe,Adobe Photoshop 9 full.exe,Matrix 3 Revolution English Subtitles.exe…..
郵件特徵:
包含以下字串:
RE: Text message,Re: Document,Incoming message,Re: Incoming Message,RE: Protected message,Forum notify,Site changes,Encrypted document,Re: Hi,E-mail warning,
Notify about your e-mail account utilization.,Notify from e-mail technical support.,
附屬檔案為一個:加了密的zip檔案(病毒)
郵件還將附上zip檔案的密碼(一個病毒生成的bmp圖)
後門執行緒:
病毒監聽81連線埠接,向聯接上來的客戶端傳送以下腳本。
病毒監聽:
監聽2556連線埠接受一些客戶端傳來的特定命令。
註:病毒將在2005年12月31日以後失去傳播能力,病毒將自我刪除。
病毒解決方案
⒈進行升級瑞星公司將於當天進行升級,升級後的軟體版本號為16.18.30,該版本的瑞星防毒軟體可以徹底查殺此病毒,瑞星防毒軟體標準版和網路版的用戶可以直接登入瑞星網站(http://www.rising.com.cn/)下載升級包進行升級,或者使用瑞星防毒軟體的“智慧型升級”功能。
⒉使用專殺工具
鑒於該病毒的危害性比較嚴重,瑞星公司還為手中暫時沒有防毒軟體的用戶提供了免費的病毒專殺工具,用戶可以到:http://it.rising.com.cn/service/technology/tool.htm網址進行免費下載,並進行該病毒的清除。
⒊使用線上防毒和下載版
用戶還可以使用瑞星公司的線上防毒與下載版產品清除該病毒,這兩款產品有多種支付途徑,用戶可以登入網址:http://online.rising.com.cn/來使用線上防毒產品,或者登入網址:http://go.rising.com.cn/來使用下載版產品。
⒋打電話求救
如果遇到關於該病毒的其它問題,用戶可以隨時撥打瑞星反病毒急救電話:010-82678800來尋求反病毒專家的幫助!
⒌手動清除
⑴打開註冊表編輯器,刪除如下鍵值<如果存在的話>:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" direct.exe"="%SYSDIR%\ direct.exe"
⑵打開任務管理器查看是否存在進程名為: direct.exe終止它
⑶將%SYSDIR%目錄下的檔案: direct.exe刪除
註:%SYSDIR%位Windows系統的安裝目錄,在Windows 9X/ME/XP下默認為:C:\WINDOWS\SYSTEM,Win2K下默認為:C:\WINNT\SYSTEM32。
安全建議
⒈建立良好的安全習慣。例如:不要輕易打開一些來歷不明的郵件及附屬檔案,不要上一些不太了解的網站,不要運行從網際網路上下載的未經防毒處理的軟體等,這些必要的習慣會使您的計算機更加安全。⒉關閉或刪除系統中不需要的服務。默認情況下,作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大作用,如果刪除它們,就能大大減少被攻擊的可能性,增強電腦的安全。
⒊經常升級安全補丁。據統計,大部分網路病毒都是通過系統安全漏洞進行傳播的,象衝擊波、大無極、SCO炸彈、網路天空等。漏洞的存在,會造成防毒殺不乾淨的狀況,所以應該定期到微軟網站去下載最新的安全補丁,堵住系統的漏洞。
⒋使用複雜的密碼。有許多網路病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數,減少被病毒攻擊的機率。
⒌迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
⒍了解一些病毒知識。這樣您就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果能了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
⒎最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控打開(如郵件監控)、遇到問題要及時上報,這樣才能真正保障計算機的安全。
