Worm.Beagle.av

病毒別名

Worm.Beagle.av

病毒介紹

處理時間：
威脅級別：★★★
中文名稱：惡鷹av
病毒類型：蠕蟲
影響系統：Win9x/ WinNT
病毒行為:
該病毒通過郵件進行傳播，用戶運行郵件附屬檔案後，會嘗試關閉計算機內的反病毒軟體，並從網上下載一個後門。該蠕蟲，還會在受感染的機器的檔案中搜尋電子郵件，並向搜尋到的地址傳送郵件。誘惑用戶打開運行病毒程式。該病毒會向外傳送大量的帶毒郵件，嚴重的堵塞用戶網路。並且該病毒會感染執行檔，建議用戶開啟防火牆來樂垢貌《鏡那秩搿?
1.創建以下幾個互斥量來防止netsky病毒運行：
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
【SkyNet.cz】SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO】xX|-S-k-y-N-e-t-|Xx【Oo-_
2.在被感染的機器上創建以下檔案：
%System%\sysinit.exe
%System%\sysinit.exeopen
%System%\sysinit.exeopenopen
3.在註冊表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中
增加"syskey"="%System%\sysinit.exe"
來確保自身能隨計算機啟動
4.從HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除包含以下字元串的鍵值：
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
5.嘗試結束以下進程：
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
sys_xp.exe
sysxp.exe
UPDATE.EXE
winxp.exe
kavsvc.exe
6.在包含"shar"字元串的目錄下創建檔案，檔案名稱可能為下列字元：
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
7.搜尋以下列字元串為擴展名的檔案來獲得Email地址，並用自帶的SMTP引擎傳送帶毒郵件
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
8.病毒傳送的帶毒郵件具有如下特徵：
發件人：偽造的
主題：
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
正文：
Read the attach.
Your file is attached.
More info is in attach
See attach.
Please, have a look at the attached file.
Your document is attached.
Please, read the document.
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Pay attention at the attach.
See the attached file for details.
Message is in attach
Here is the file.
如果附屬檔案有密碼，則會顯示在正文中顯示密碼
附屬檔案：
檔案名稱可能為：
Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message
擴展名可能為：
.exe
.scr
.com
.zip
.vbs
.hta
.cpl
9.該病毒不會向包含以下字元串的郵件地址傳送郵件
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
10.嘗試從下列網站下載檔案
http://s**h.cc/
11.開啟TCP2002連線埠做為後門
12、嘗試感染執行檔
13、2005年1月25日病毒自動停止運行