§ 名称

Worm_Bbeagle.AI

§ 相关资料

病毒名称：“贝革热”变种（Worm_Bbeagle.AI）

其它命名：Win32.Bagle.AI（CA）

Worm.Beagle.ai（金山）

WORM_BAGLE.AH（Trend）

Win32/Bagle.AH.Worm

I-Worm.Bagle.ai（Kaspersky）

W32/Bagle.ai@MM （McAfee）

W32.Beagle.AG@mm （Symantec）

Worm.Bbeagle.ao（瑞星）

W32/Bagle-AI （Sophos）

病毒类型：蠕虫

感染系统：Windows 95/98/Me/NT/2000/XP/2003

病毒特性：

病毒以染毒邮件的附件形式到达，需要用户手工运行才能发作和传播。病毒附件可能是一个带有口令的.ZIP文件，其密码就在邮件之中，或者是扩展名为.EXE， .SCR，.COM或.CPL的文件。提醒用户遇到此类邮件不要打开，应立即删除。病毒运行后在系统文件夹下生成多个病毒文件，修改注册表，以达到自启动的目的。另外，病毒可通过网络共享进行传播，终止一些安全相关的软件的运行，同时具有后门功能。

1、生成病毒文件

该病毒运行后可常驻内存，并在%system%文件夹中生成多个自身拷贝，名称如下：winxp.exe

winxp.exeopen

winxp.exeopenopen

winxp.exeopenopenopen

winxp.exeopenopenopenopen

（其中，%System%在Windows 95/98/Me 下为C:\\Windows\\System，在Windows NT/2000下为C:\\Winnt\\System32，在Windows XP下为 C:\\Windows\\System32）

2、修改注册表

病毒修改注册表，以达到随系统启动而自动运行的目的，在

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version

\\Run下创建：

key = "%System%\\winxp.exe"

3、删除注册表键值

病毒从注册表的以下目录中删除一些包含特定字符的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

包含的特定字符如下：

9XHtProtect

Antivirus

EasyAV

FirewallSvr

HtProtect

ICQ Net

ICQNet

Jammer2nd

KasperskyAVEng

MsInfo

My AV

NetDy

Norton Antivirus AV

PandaAVEngine

service

SkynetsRevenge

Special Firewall Service

SysMonXP

Tiny AV

Zone Labs Client Ex

4、通过电子邮件进行传播

病毒使用自身的SMTP引擎进行传播。病毒会从特定扩展名的文件中收集邮件地址，并会略过含有特定字符串的邮件地址。

病毒发送的邮件格式如下：

主题：

Re:

正文：（为下列之一）

foto3 and MP3

fotogalary and Music

fotoinfo

Lovely animals

Animals

Predators

The snake

Screen and Music

附件：（为下列之一）

Cat

Cool_MP3

Dog

Doll

Fish

Garry

MP3

Music_MP3

New_MP3_Player

邮件附件可使用如下的扩展名：

.exe

.scr

.com

.cpl

.zip （附件的扩展名为.ZIP时，附件带有密码保护）

5、通过共享传播

在利用网络共享进行传播方面，病毒会在名称中含有“shar”字符串的文件夹中生成以文件名特定命名的自身拷贝。名称可能为下列之一：

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Kaspersky Antivirus 5.0

KAV 5.0

Matrix 3 Revolution English Subtitles.exe

Microsoft Office 2003 Crack, Working!.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Opera 8 New!.exe

Porno pics arhive, xxx.exe

Porno Screensaver.scr

Porno, sex, oral, anal cool, awesome!!.exe

Serials.txt.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

Windows Sourcecode update.doc.exe

XXX hardcore images.exe

6、后门功能

病毒具有后门能力。病毒可打开TCP和UDP的任意端口以侦听发自

远程用户的命令。

7、其它

病毒在传播时间上给自身做了限制，当系统日期为2006年5月5日或以后时，

病毒会终止自身的运行，并会删除其在注册表中创建的自启动项，但其生

成的病毒拷贝仍残留在系统内，不会被删除。

清除该病毒的建议：

由于该病毒在传播时间上给自身做了限制，所以可先将系统日期修改为2006年5月5日以后，在进行杀毒工作。

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE

在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC

选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的key = "%System%\\winxp.exe"

3、删除病毒文件

点击"开始--〉查找--〉文件和文件夹"，查找“winxp.exe”、“winxp.exeopen”、“winxp.exeopenopen”、“winxp.exeopenopenopen”、“winxp.exeopenopenopenopen”，将找到的文件删除。

4、运行杀毒软件对系统进行全面的病毒查杀

• 展演
• 展爪
• 展玩
• 展省
• 展示
• 展示台
• 展示接霉
• 展禽
• 展竭
• 展缓
• 展舒
• 展衣
• 展裹
• 展视
• 展览
• 展览会贸易
• 展览品
• 展览馆
• 展觐
• 展评
• 展诵
• 展谢
• 展赖
• 展軨
• 展转