簡介
貝革熱(Bagle,2004年)該病毒通過電子郵件進行傳播,運行後,在系統目錄下生成自身的拷貝,修改註冊表鍵值。病毒同時具有後門能力。2004年1月18日爆發,給全球帶來數千萬美元損失
關於“貝革熱”(Worm_Bbeagle.J)的情況報告
國家計算機病毒應急處理中心通過監測,於2004年3月2日發現“貝革熱” 病毒一個新變種Worm_Bbeagle.J,該變種已經在美國、加拿大等地傳播,並且已經在中國出現。
國家計算機病毒應急處理中心提醒廣大計算機用戶升級防毒軟體,啟動“實時監控”,做好病毒的預防工作。
有關該病毒的詳細信息如下
病毒名稱:“貝革熱”變種(Worm_Bbeagle.J)其它中文命名:“惡鷹”變種I(金山)、“惡鷹”(瑞星)
其它英文命名:W32/Bagle.j@MM (McAfee)
WORM_BAGLE.J (Trend Micro)
I-Worm.Netsky.d (Kaspersky)
Win32.Bagle.J (Computer Associates)
W32/Bagle-J (Sophos)
病毒類型:蠕蟲
感染系統:Windows 95/98/Me/NT/2000/XP
病毒長度:位元組
病毒特徵:12,288位元組
病毒通過電子郵件進行傳播,運行後,在系統目錄下生成自身的拷貝,修改註冊表鍵值。病毒同時具有後門能力。
生成病毒檔案
病毒運行後,在%System%資料夾下生成自身的拷貝,名稱為irun4.exe。病毒還在%system%資料夾下生成irun4.exeopen,該檔案是一個加過密的.zip檔案包,其內容為病毒代碼,密碼是隨機生成的。
(其中,%System%在Windows 95/98/Me 下為C:,在Windows NT/2000下為C:,
在Windows XP下為 C:)
修改註冊表項
病毒添加註冊表項,使得自身能夠在系統啟動時自動運行,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加"ssate.exe"="%System%.exe"
通過電子郵件進行傳播
病毒在被感染用戶的系統內搜尋以下擴展名的檔案,尋找電子郵件地址,並使用的自帶的SMTP向這些地址傳送帶毒的電子郵件。.wab、.txt、.msg、.htm、.xml、.dbx、.mdx、.eml、.nch、.mmf、
.ods、.cfg、.asp、.php、.pl、.adb、.tbb、.sht、.uin、.cgi
同時,病毒會避免傳送病毒郵件到包含下列字元串的郵件地址:
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
病毒傳送的帶毒電子郵件格式如下
發件人
(為下列之一),其中< recipient domain> 為郵件接收者郵件伺服器的域,例如,如果郵件接收者的電子郵件地址為[email protected],< recipient domain>;就為163.net。management@
administration@
staff@
noreply@
support@
主題
(為下列之一)E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.
內容
相對於同期出現的病毒,該變種的內容較多,可能為下列幾部分字元串的任意組合。第一部分
⑴Dear user of ,⑵Dear user ofgateway e-mail server,
⑶Dear user of e-mail server "",
⑷Hello user of e-mail server,
⑸Dear user of " " mailing system,
⑹Dear user,the management of mailing system wants to let you know that,
第二部分
⑴Your e-mail account has been temporary disabled because of unauthorized access.⑵Our main mailing server will be temporary unavaible for next two days,to continue receiving mail in these days you have to configure our free auto-forwarding service.
⑶Your e-mail account will be disabled because of improper using in next three days,if you are still wishing to use it,please,resign your account information.
⑷We warn you about some attacks on your e-mail account. Your computer may contain viruses,in order to keep your computer and e-mail account safe,please,follow the instructions.
⑸Our antivirus software has detected a large ammount of viruses outgoing from your email account,you may use our free anti-virus tool to clean up your computer software.
⑹Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably,you have been infected by a proxy-relay trojan server. In order to keep your computer safe,follow the instructions.
第三部分
⑴For more information see the attached file.⑵Further details can be obtained from attached file.
⑶Advanced details can be found in attached file.
⑷For details see the attach.
⑸For details see the attached file.
⑹For further details see the attach.
⑺Please,read the attach for further details.
⑻Pay attention on attached file.
第四部分
為郵件伺服器的域,如163.netThe team http://www.
第五部分
⑴The Management,⑵Sincerely,
⑶Best wishes,
⑷Have a good day,
⑸Cheers,
⑹Kind regards,
第六部分
如果病毒郵件的附屬檔案為.zip檔案,病毒郵件還包含下列字元串之一。其中" "是五位隨機數字,為病毒郵件.zip附屬檔案的密碼。⑴For security reasons attached file is password protected. The password is " ".
⑵For security purposes the attached file is password protected. Password is " ".
⑶Attached file protected with the password for security reasons. Password is .
⑷In order to read the attach you have to use the following password: .
附屬檔案
附屬檔案名稱為下列之一,擴展名位.zip或.pifAttach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message
通過網路共享進行傳播
病毒搜尋包含字元串“shar” 的資料夾中,在找到的資料夾下生成病毒檔案的副本,並通過網路共享進行傳播,病毒檔案名稱字如下:ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack,Working!.exe
Microsoft Office XP working Crack,Keygen.exe
Microsoft Windows XP,WinXP Crack,working Keygen.exe
Opera 8 New!.exe
Porno pics arhive,xxx.exe
Porno Screensaver.scr
Porno,sex,oral,anal cool,awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
後門能力
病毒在被感染的系統中打開TCP連線埠2745進行監聽,以允行攻擊者向該連線埠傳送信息,並自動下載新的程式到受感染系統的%Windir%目錄中,名字為iuplda .exe,其中 ;為隨機字元。這有可能成為新病毒傳播的一個途徑。
病毒通過TCP連線埠80,傳送HTTP GET 請求到下列網址,並通過此種方式來獲得受感染系統的IP位址和打開的 連線埠號。
postertog.de
www.gfotxt.net
www.maiklibis.de
終止進程
病毒會終止以下進程,來阻止和擾亂反病毒軟體的升級,是用戶的反病毒軟體無法處理最新病毒。Atupdater.exe
Aupdate.exe
Autodown.exe
Autotrace.exe
Autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
Outpost.exe
Update.exe
手工清除該病毒的相關操作
1、終止病毒進程在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE,在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC,選擇“任務管理器--〉進程”,選中正在運行的進程“irun4.exe”,並終止其運行。
2、註冊表的恢復
點擊“開始--〉運行”,輸入regedit,運行 註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的"ssate.exe"="%System%.exe"
3、刪除病毒釋放的檔案
點擊“開始--〉查找--〉檔案和資料夾”,查找檔案“irun4.exe”和“irun4.exeopen”,並將找到的檔案刪除。
4、運行防毒軟體,對系統進行全面的病毒查殺
用戶一定要了解該病毒的主要特徵,遇到此類郵件立即刪除,千萬不要打開郵件的附屬檔案,避免病毒的感染和進一步的傳播。
目前,金山、 瑞星公司已經上報解決方案,並對產品進行了升級,都可以有效的清除該病毒。
