名稱
相關資料
病毒名稱:WORM_BAGLE.AZ其它英文命名:Win32.Bagle.AU(Computer Associates),
Email-Worm.Win32.Bagle.ay(Kaspersky Lab),
W32/Bagle.bk@MM(McAfee),
WORM_BAGLE.AZ(Trend Micro),
W32.Beagle.AY@mm(Symantec)
感染系統:Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows XP
病毒長度:19,000位元組
病毒特徵:
該變種通過郵件和網路進行傳播,病毒駐留記憶體,打開後門,修改註冊表,在系統目錄下創建檔案。
1、生成病毒檔案
在%Windows%目錄下生成sysformat.exe、
sysformat.exeopen、 sysformat.exeopenopen。(其中,%Windows% 是Windows的默認資料夾,通常是 C:\Windows 或 C:\WINNT)
2、修改註冊表項
病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,病毒會添加如下註冊選項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
sysformat = "%System%\sysformat.exe"
病毒還會創建如下註冊選項:
HKEY_CURRENT_USER\Software\Microsoft\Params
riga = "<隨機十六進制數值>"
3、通過電子郵件傳播
該病毒利用自帶的SMTP引擎傳送帶毒郵件。病毒會從被感染計算機收集郵件地址,並將自身作為附屬檔案向外傳送帶毒電子郵件。病毒郵件使用虛假的發件人地址,使之看上去像是從熟悉的地址發來的,用以迷惑用戶,同時會跳過含有特定字元串的郵件地址。
病毒所傳送的電子郵件有特徵如下:
主題: (其中之一)
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
正文: (其中之一)
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
附屬檔案: (其中之一)
guupd02.exe
Jol03.exe
siupd02.exe
upd02.exe
viupd02.exe
wsd01.exe
zupd02.exe
使用如下擴展名:
COM
CPL
EXE
SCR
4、通過網路共享傳播
病毒會在網路中搜尋名稱中帶有"shar"字元串的已分享檔案夾,找到後會在其中生成如下自身拷貝:
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe