簡介
病毒名稱: Email-Worm.Win32.Bagle.ch中文名稱: 白鴿變種
病毒類型: 郵件蠕蟲
檔案 MD5: 04EA82E70D45B65F7B7AE204A3236CCE
公開範圍: 完全公開
危害等級: 中
檔案長度:36,352 位元組
感染系統: windows 98 以上版本
開發工具: Microsoft Visual C++
加殼類型: ACProtect
命名對照: Symentec[Trojan.Lodear.x]
Mcafee[W32/Bagle.gen]
病毒描述
該病毒屬郵件蠕蟲類,病毒主要通過傳送含有病毒附屬檔案的郵件傳播。病毒的圖示具有一定的欺騙性,病毒盜用Windows Xp下.txt檔案圖示,誘騙用戶瀏覽。病毒運行後首先會打開notepad.exe程式,而後修改註冊表檔案,添加病毒副本到啟動項等,修改其中安全相關的配置,降低系統的安全性能,病毒還會嘗試終止某些反病毒軟體及安全軟體的進程,修改"%System%\drivers\etc\hosts"檔案。病毒還會嘗試下載病毒相關檔案到感染主機上運行。該病毒對用戶有一定的危害。行為分析
1、病毒運行後複製自身到:%System%\winshost.exe
%System%\wiwshost.exe
2、修改註冊表檔案,達到隨系統啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串: "winshost.exe"="%System%\winshost.exe"
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串: "winshost.exe"="%System%\winshost.exe"
3、嘗試終止某些反病毒軟體及安全軟體的進程
4、通過遍歷註冊表檔案,嘗試刪除某些反病毒及安全軟體的相關鍵值,以達到保護自身的目的:
HKEY_LOCAL_METHINE\SOFTWARE\McAfee
HKEY_LOCAL_METHINE\SOFTWARE\KasperskyLab
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ccapp
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\KAV50
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\APVXDWIN
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\avg7_emc
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\NAV CfgWiz
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\SSC_UserPrompt
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\McAfee Guardian
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\SymantecNetDriver Monitor
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\McAfee.InstantUpdate.Monitor
......
5、病毒運行後首先會打開notepad.exe程式,藉以欺騙用戶。
6、病毒體內包含一個url地址列表,病毒運行後會嘗試下載這些病毒相關檔案到感染住進上運行。
7、修改%System%\drivers\etc\hosts檔案,只留下以下字元串:
127.0.0.1 localhost
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%System%\winshost.exe
%System%\wiwshost.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串: "winshost.exe"="%System%\winshost.exe"
HKEY_LOCAL_METHINE\Software\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串: "winshost.exe"="%System%\winshost.exe"
