Worm_Bbeagle.AG

Worm_Bbeagle.AG,"貝革熱"變種,是一種蠕蟲病毒。病毒以染毒郵件的附屬檔案形式到達,郵件的標題為空,內容為New price(新的價格)、附屬檔案的名稱是可變的,但一般都和價格有關係,長度約為19k。提醒用戶遇到此類郵件不要打開,應立即刪除。病毒運行後在系統資料夾下生成病毒檔案,修改註冊表,以達到自啟動的目的。另外,病毒會刪除一些註冊表項,同時具有後門功能。

名稱

Worm_Bbeagle.AG

相關資料

病毒名稱:"貝革熱"變種(Worm_Bbeagle.AG)
其它命名:W32/Bagle.AJ@mm (F-Secure)
I-Worm.Bagle.al (Kaspersky)
W32/Bagle.aq@MM (McAfee)
W32.Beagle.AO@mm(Symantec)
WORM_BAGLE.AC (Trend)
Win32.Bagle.AG (Computer Associates)
W32/Bagle-AQ (Sophos)
Win32.Bagle.AG(群金辰)
病毒度:19,460位元組
病毒類型:蠕蟲
感染系統:Windows 95/98/Me/NT/2000/XP/2003
病毒特性
病毒以染毒郵件的附屬檔案形式到達,郵件的標題為空,內容為New price(新的價格)、附屬檔案的名稱是可變的,但一般都和價格有關係,長度約為19k。提醒用戶遇到此類郵件不要打開,應立即刪除。病毒運行後在系統資料夾下生成病毒檔案,修改註冊表,以達到自啟動的目的。另外,病毒會刪除一些註冊表項,同時具有後門功能。
1、生成病毒檔案
該病毒運行後在%system%資料夾中生成多個檔案
WINdirect.exe
WINDLL.EXE
WINDLL.EXEOPEN
WINDLL.EXEOPENOPEN
re_file.exe
(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
2、修改註冊表
病毒修改註冊表,以達到隨系統啟動而自動運行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"win_upd.exe"="%System%\WINdirect.exe"
和"erthgdr"="%System%\windll.exe"
3、刪除註冊表鍵值
病毒從註冊表的以下目錄中刪除一些包含特定字元的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
包含的特定字元如下:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service
4、通過電子郵件進行傳播
病毒使用自身的SMTP引擎向外傳送帶毒電子郵件,進行傳播。病毒會從多種擴展名的檔案中蒐集郵件地址,並向這些地址傳送帶毒電子郵件。病毒同時會略去還有特定字元的郵件地址。
病毒傳送的郵件格式如下:
主題: (為空)
正文:New price
附屬檔案的名稱:(為下列之一)
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price2.zip
price_08.zip
price_new.zip
5、通過共享傳播
病毒嘗試將自身拷貝到包含字元串"shar"的資料夾中,名稱為下列之一
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
6、後門功能
病毒生成的檔案會開啟TCP80和UDP80連線埠,該後門可以用來下載和執行檔案並可更新病毒。病毒會終止一些和反病毒相關的進程。
清除該病毒的建議:
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE
在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC
選擇"任務管理器--〉進程",選中正在運行的病毒進程,並終止其運行。
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側"win_upd.exe"="%System%\WINdirect.exe"和"erthgdr"="%System%\windll.exe"
3、刪除病毒檔案
點擊"開始-->查找",找到病毒生成的檔案WINdirect.exe、WINDLL.EXE、WINDLL.EXEOPEN、WINDLL.EXEOPENOPEN、re_file.exe,並將其刪除
4、運行防毒軟體對系統進行全面的病毒查殺

相關詞條

相關搜尋

熱門詞條

聯絡我們