名稱
相關資料
病毒信息:病毒名稱: Worm.Beagle.z
中文名稱: 惡鷹變種Z
威脅級別: 3A
病毒別名: I-Worm.Bagle.z 【Kaspersky】
WORM_BAGLE.Z 【Trend】
W32/Bagle.aa@MM 【McAfee】
W32/Bagle-AA 【Sophos】
Win32.Bagle.X 【Computer Associates】
病毒類型: 蠕蟲、後門
受影響系統:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
破壞方式:
· 利用自帶的SMTP發信引擎瘋狂傳送病毒郵件,堵塞網路,導致郵件伺服器不穩定;
· 利用點對點共享軟體進行傳播;
· 中止大量反病毒軟體和個人防火牆,降低系統安全性。
發作現象:
病毒運行時會彈出《如圖》對話框:
· 技術特點:
A、通過打開下列互斥體,使記憶體只有一個病毒進程
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
\'D\'r\'o\'p\'p\'e\'d\'S\'k\'y\'N\'e\'t\'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
【SkyNet.cz】SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO】xX|-S-k-y-N-e-t-|Xx【Oo-_
B、刪除下列鍵值:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
"My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus AV"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"
以上鍵值為NETSKY病毒添加的
C、拷貝自身到
%System%\\drvddll.exe.
%System%\\Drvddll.exeopen
%System%\\Drvddll.exeopenopen
D、如果系統時間是2005年2月25以後,蠕蟲將會刪除自身。
E、添加下列鍵值:
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
"Drvddll_exe"="%system%\\drvddll.exe"
F、在tcp2535連線埠開設後門,可以讓攻擊者上傳並執行病毒。
G、拷貝自身到區域網路已分享資料夾,名字如下:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
H、中止大量反病毒軟體和網路防火牆軟體
I、搜尋本地擴展名為下列的檔案獲得郵件地址:
.wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp
.php .pl .wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm .jsp
J、使用自帶的SMTP傳送引擎傳送病毒郵件,以下是郵件特片:
發件人:<欺騙性的>
主題: <以下的字元串之一>
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
New changes
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
內容:
For security reasons attached file is password protected. The password is
For security purposes the attached file is password protected. Password --
Note: Use password
Attached file is protected with the password for security reasons. Password is
In order to read the attach you have to use the following password:
Archive password:
Password
Password:
followed by a copy of the image file dropped as drvddll.exeopenopen.
If the attachment is not a .zip file, the Body will be blank.
附屬檔案名稱:
Information
Details
text_document
Readme
Document
Info
the_message
Details
MoreInfo
Message
You_will_answer_to_me
Half_Live
Counter_strike
Loves_money
the_message
Alive_condom
Joke
Toy
Nervous_illnesses
Manufacture
You_are_dismissed
Your_complaint
Your_money
Smoke
I_search_for_you
解決方案:
· 請使用金山毒霸2004年04月30日的病毒庫可完全處理該病毒;
· 請不要輕易點擊陌生人的郵件及下載運行所帶附屬檔案,在運行可疑附屬檔案前最好先用毒霸掃描;
· 手工解決方案:
首先,若系統為WinMe/WinXP,則請先關閉系統還原功能;
(毒霸論壇:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系統還原”功能)
對於系統是Windows9x/WinMe:
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為
C:\\windows),分別輸入以下命令,以便刪除病毒程式:
C:\\windows\\system\\>del Drvddll.exe
C:\\windows\\system\\>del Drvddll.exeopen*
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
步驟二,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序分別查找,找到後雙擊):
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_USER>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Run
在右邊的面板中, 找到並刪除如下項目:
Drvddll.exe = "%System%\\Drvddll.exe"
關閉註冊表編輯器.
對於系統是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“Drvddll.exe”,單擊“結束進
程按鈕”點擊“是”,結束病毒進程,然後關閉“Windows任務管理器” ;
步驟二,查找並刪除病毒程式
通過“我的電腦”或“資源管理器”進入系統目錄(Winnt或windows),再進入system32目錄,
找到檔案“Drvddll.exe”,將它刪除。注意清空資源回收筒內的內容;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_USER>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Run
在右邊的面板中, 找到並刪除如下項目:
Drvddll.exe = "%System%\\Drvddll.exe"
關閉註冊表編輯器.