词条 | Worm_Bbeagle.AI |
释义 | § 名称 Worm_Bbeagle.AI § 相关资料 病毒名称:“贝革热”变种(Worm_Bbeagle.AI) 其它命名:Win32.Bagle.AI(CA) Worm.Beagle.ai(金山) WORM_BAGLE.AH(Trend) Win32/Bagle.AH.Worm I-Worm.Bagle.ai(Kaspersky) W32/Bagle.ai@MM (McAfee) W32.Beagle.AG@mm (Symantec) Worm.Bbeagle.ao(瑞星) W32/Bagle-AI (Sophos) 病毒类型:蠕虫 感染系统:Windows 95/98/Me/NT/2000/XP/2003 病毒特性: 病毒以染毒邮件的附件形式到达,需要用户手工运行才能发作和传播。病毒附件可能是一个带有口令的.ZIP文件,其密码就在邮件之中,或者是扩展名为.EXE, .SCR,.COM或.CPL的文件。提醒用户遇到此类邮件不要打开,应立即删除。病毒运行后在系统文件夹下生成多个病毒文件,修改注册表,以达到自启动的目的。另外,病毒可通过网络共享进行传播,终止一些安全相关的软件的运行,同时具有后门功能。 1、生成病毒文件 该病毒运行后可常驻内存,并在%system%文件夹中生成多个自身拷贝,名称如下:winxp.exe winxp.exeopen winxp.exeopenopen winxp.exeopenopenopen winxp.exeopenopenopenopen (其中,%System%在Windows 95/98/Me 下为C:\\Windows\\System,在Windows NT/2000下为C:\\Winnt\\System32,在Windows XP下为 C:\\Windows\\System32) 2、修改注册表 病毒修改注册表,以达到随系统启动而自动运行的目的,在 HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version \\Run下创建: key = "%System%\\winxp.exe" 3、删除注册表键值 病毒从注册表的以下目录中删除一些包含特定字符的键值 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 包含的特定字符如下: 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine service SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex 4、通过电子邮件进行传播 病毒使用自身的SMTP引擎进行传播。病毒会从特定扩展名的文件中收集邮件地址,并会略过含有特定字符串的邮件地址。 病毒发送的邮件格式如下: 主题: Re: 正文:(为下列之一) foto3 and MP3 fotogalary and Music fotoinfo Lovely animals Animals Predators The snake Screen and Music 附件:(为下列之一) Cat Cool_MP3 Dog Doll Fish Garry MP3 Music_MP3 New_MP3_Player 邮件附件可使用如下的扩展名: .exe .scr .com .cpl .zip (附件的扩展名为.ZIP时,附件带有密码保护) 5、通过共享传播 在利用网络共享进行传播方面,病毒会在名称中含有“shar”字符串的文件夹中生成以文件名特定命名的自身拷贝。名称可能为下列之一: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe 6、后门功能 病毒具有后门能力。病毒可打开TCP和UDP的任意端口以侦听发自 远程用户的命令。 7、其它 病毒在传播时间上给自身做了限制,当系统日期为2006年5月5日或以后时, 病毒会终止自身的运行,并会删除其在注册表中创建的自启动项,但其生 成的病毒拷贝仍残留在系统内,不会被删除。 清除该病毒的建议: 由于该病毒在传播时间上给自身做了限制,所以可先将系统日期修改为2006年5月5日以后,在进行杀毒工作。 1、终止病毒进程 在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE 在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC 选择"任务管理器--〉进程",选中正在运行的病毒进程,并终止其运行。 2、注册表的恢复 点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的key = "%System%\\winxp.exe" 3、删除病毒文件 点击"开始--〉查找--〉文件和文件夹",查找“winxp.exe”、“winxp.exeopen”、“winxp.exeopenopen”、“winxp.exeopenopenopen”、“winxp.exeopenopenopenopen”,将找到的文件删除。 4、运行杀毒软件对系统进行全面的病毒查杀 |
随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。