释义 | § 名称 WORM_BAGLE.AZ § 相关资料 病毒名称:WORM_BAGLE.AZ 其它英文命名:Win32.Bagle.AU(Computer Associates), Email-Worm.Win32.Bagle.ay(Kaspersky Lab), W32/Bagle.bk@MM(McAfee), WORM_BAGLE.AZ(Trend Micro), W32.Beagle.AY@mm(Symantec) 感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 病毒长度:19,000字节 病毒特征: 该变种通过邮件和网络进行传播,病毒驻留内存,打开后门,修改注册表,在系统目录下创建文件。 1、生成病毒文件 在%Windows%目录下生成sysformat.exe、 sysformat.exeopen、 sysformat.exeopenopen。(其中,%Windows% 是Windows的默认文件夹,通常是 C:\\Windows 或 C:\\WINNT) 2、修改注册表项 病毒创建注册表项,使得自身能够在系统启动时自动运行,病毒会添加如下注册选项: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run sysformat = "%System%\\sysformat.exe" 病毒还会创建如下注册选项: HKEY_CURRENT_USER\\Software\\Microsoft\\Params riga = "<随机十六进制数值>" 3、通过电子邮件传播 该病毒利用自带的SMTP引擎发送带毒邮件。病毒会从被感染计算机收集邮件地址,并将自身作为附件向外发送带毒电子邮件。病毒邮件使用虚假的发件人地址,使之看上去像是从熟悉的地址发来的,用以迷惑用户,同时会跳过含有特定字符串的邮件地址。 病毒所发送的电子邮件有特征如下: 主题: (其中之一) Delivery service mail Delivery by mail Registration is accepted Is delivered mail You are made active Thanks for use of our software. Before use read the help 正文: (其中之一) Delivery service mail Delivery by mail Registration is accepted Is delivered mail You are made active Thanks for use of our software. Before use read the help 附件: (其中之一) guupd02.exe Jol03.exe siupd02.exe upd02.exe viupd02.exe wsd01.exe zupd02.exe 使用如下扩展名: COM CPL EXE SCR 4、通过网络共享传播 病毒会在网络中搜索名称中带有"shar"字符串的共享文件夹,找到后会在其中生成如下自身拷贝: 1.exe 2.exe 3.exe 4.exe 5.scr 6.exe 7.exe 8.exe 9.exe 10.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe |
随便看 |