名稱
相關資料
病毒信息:病毒名稱:Worm.Beagle.H
中文名稱: “惡鷹”變種H
威脅級別: 3B
病毒別名: 貝革熱、雛鷹
W32/Bagle.h@MM 【McAfee】
W32/Bagle-H 【Sophos】
I-Worm.Bagle.Gen 【Kaspersky】
WORM_BAGLE.H 【Trend】
病毒類型: 蠕蟲、木馬
受影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
---------------------------------------------------------
技術特點:
· 傳染條件:利用電子郵件高速傳播;
· 發作條件:
A、2004.03.25 前發作, 2004.03.25號以後將自動卸載;
B、如果病毒發現自己的檔案名稱不是%System%\\i11r54n4.exe,它將啟動Windows的記事本程式;
· 系統修改:
A、將病毒自身拷貝到 %System%\\i11r54n4.exe;
B、創建以下檔案
%System%\\go154o.exe, 19968位元組, DLL檔案,病毒用於發信的模組
%System%\\i1i5n1j4.exe, 1536位元組,DLL檔案,調用godo.exe的模組
%System%\\i11r54n4.exeopen,這是一個密碼保護的.zip檔案;
C、在註冊表的主鍵:
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
中添加如下鍵值:
"rate.exe"="%System%\\i11r54n4.exe"
以便該病毒在每次重啟 Windows 時運行
在註冊表的主鍵:
HKEY_CURRENT_USER\\SOFTWARE\\winword
中添加如下鍵值:
"frun"="1"
D、創建一個名為 imain_mutex 的互斥量,保證每次只運行一個蠕蟲實例;
E、將 go54o.exe 作為一個 DLL 注入到 explorer.exe 的地址空間;
F、打開TCP連線埠,以便黑客連線,連線埠號為 2745
· 發作現象:
A、向以下站點的80連線埠傳送Get請求
http://postertog.de/scr.php
http://www.gfotxt.net/scr.php
http://www.maiklibis.de/scr.php
傳送病毒在系統內收集的信息,比如:受感染系統的IP等信息;
B、嘗試關閉以下反病毒軟體的程式進程,阻止反病毒程式升級:
Atupdater.exe
aupdate.exe
Autodown.exe
Autotrace.exe
autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
outpost.exe
Update.exe
C、在本地磁盤掃描具有以下擴展名的檔案,以收集郵件地址。
.wab .txt .htm .html .dbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .adb .sht
D、用自帶的smtp引擎傳送郵件。
郵件主題從以下字元串中選擇一個:
Hokki =)
Weah, hello! :-)
Weeeeee! ;)))
Hi! :-)
ello! =))
Hey, ya! =))
^_^ meay-meay!
^_^ meay-meay!
^_^ mew-mew (-:
郵件內容從以下段落中選擇一個:
Hey, dude, it\'s me ^_^ :P
Argh, i don\'t like the plaintext :)
I don\'t bite, weah!
Looking forward for a response :P
如果該郵件帶有密碼保護的附屬檔案,那么正文中還會有如下的字元串:
btw <隨機字元串> is a password for archive
郵件附屬檔案名從以下字元串中選擇一個:
TextDocument
Readme
Msg
Msginfo
Document
Info
Attachedfile
Attacheddocument
TextDocument
Text
TextFile
Letter
MoreInfo
Message
郵件附屬檔案後綴為:
.zip
E、該蠕蟲將不會往含以下欄位的郵件地址傳送郵件:
.gr
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
F、該病毒將使用以資料夾的圖示:
(如附圖)
以迷惑用戶將他誤認為資料夾而點擊感染.
G、該病毒為了可以在檔案共享網路傳播,如:KaZaA 和 iMesh, 它查找含有字元串"shar"的共
享資料夾將其自己拷貝進去,檔案名稱在以下字元串中選擇一個:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
解決方案:
·金山毒霸已經於3月2日對該病毒進行了應急處理,請升級最新版可完全查該病毒;
· 請一定留意收到的郵件,如果有附屬檔案,請不要打開附屬檔案,更不要執行附屬檔案中的可執行程式,注 意病毒程式偽裝的圖示,不要輕信圖標為“電子表格、文本檔案、資料夾”的附屬檔案;
