名稱
相關資料
病毒名稱:“貝革熱”變種(Worm_Bbeagle.AI)其它命名:Win32.Bagle.AI(CA)
Worm.Beagle.ai(金山)
WORM_BAGLE.AH(Trend)
Win32/Bagle.AH.Worm
I-Worm.Bagle.ai(Kaspersky)
W32/Bagle.ai@MM (McAfee)
W32.Beagle.AG@mm (Symantec)
Worm.Bbeagle.ao(瑞星)
W32/Bagle-AI (Sophos)
病毒類型:蠕蟲
感染系統:Windows 95/98/Me/NT/2000/XP/2003
病毒特性:
病毒以染毒郵件的附屬檔案形式到達,需要用戶手工運行才能發作和傳播。病毒附屬檔案可能是一個帶有口令的.ZIP檔案,其密碼就在郵件之中,或者是擴展名為.EXE, .SCR,.COM或.CPL的檔案。提醒用戶遇到此類郵件不要打開,應立即刪除。病毒運行後在系統資料夾下生成多個病毒檔案,修改註冊表,以達到自啟動的目的。另外,病毒可通過網路共享進行傳播,終止一些安全相關的軟體的運行,同時具有後門功能。
1、生成病毒檔案
該病毒運行後可常駐記憶體,並在%system%資料夾中生成多個自身拷貝,名稱如下:winxp.exe
winxp.exeopen
winxp.exeopenopen
winxp.exeopenopenopen
winxp.exeopenopenopenopen
(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
2、修改註冊表
病毒修改註冊表,以達到隨系統啟動而自動運行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version
\Run下創建:
key = "%System%\winxp.exe"
3、刪除註冊表鍵值
病毒從註冊表的以下目錄中刪除一些包含特定字元的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
包含的特定字元如下:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
4、通過電子郵件進行傳播
病毒使用自身的SMTP引擎進行傳播。病毒會從特定擴展名的檔案中收集郵件地址,並會略過含有特定字元串的郵件地址。
病毒傳送的郵件格式如下:
主題:
Re:
正文:(為下列之一)
foto3 and MP3
fotogalary and Music
fotoinfo
Lovely animals
Animals
Predators
The snake
Screen and Music
附屬檔案:(為下列之一)
Cat
Cool_MP3
Dog
Doll
Fish
Garry
MP3
Music_MP3
New_MP3_Player
郵件附屬檔案可使用如下的擴展名:
.exe
.scr
.com
.cpl
.zip (附屬檔案的擴展名為.ZIP時,附屬檔案帶有密碼保護)
5、通過共享傳播
在利用網路共享進行傳播方面,病毒會在名稱中含有“shar”字元串的資料夾中生成以檔案名稱特定命名的自身拷貝。名稱可能為下列之一:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
6、後門功能
病毒具有後門能力。病毒可打開TCP和UDP的任意連線埠以偵聽發自
遠程用戶的命令。
7、其它
病毒在傳播時間上給自身做了限制,當系統日期為2006年5月5日或以後時,
病毒會終止自身的運行,並會刪除其在註冊表中創建的自啟動項,但其生
成的病毒拷貝仍殘留在系統內,不會被刪除。
清除該病毒的建議:
由於該病毒在傳播時間上給自身做了限制,所以可先將系統日期修改為2006年5月5日以後,在進行防毒工作。
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE
在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC
選擇"任務管理器--〉進程",選中正在運行的病毒進程,並終止其運行。
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的key = "%System%\winxp.exe"
3、刪除病毒檔案
點擊"開始--〉查找--〉檔案和資料夾",查找“winxp.exe”、“winxp.exeopen”、“winxp.exeopenopen”、“winxp.exeopenopenopen”、“winxp.exeopenopenopenopen”,將找到的檔案刪除。
4、運行防毒軟體對系統進行全面的病毒查殺
