“W32.Beagle.U@mm”的意思、由来-中文百科全书

基本信息

发现： 2004 年 3 月 26 日

更新： 2007 年 2 月 13 日 12:22:47 PM

别名： Bagle.U [F-Secure], WORM_BAGLE.U [Trend], W32/Bagle-U [Sophos], W32/Bagle.u@MM [McAfee]

类型: Worm

感染长度： 8,208 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP

注意

* 具有序列号 28833 或更新编号的快速发布定义将把该威胁检测为 W32.Beagle.U@mm。

* 这些定义之前的病毒定义将该威胁检测为 W32.Beagle.gen。

* Symantec 安全响应中心开发了一种杀毒工具，可用来清除 W32.Beagle.U@mm 感染。

防护

* 病毒定义（每周 LiveUpdate™） 2004 年 3 月 26 日

* 病毒定义（智能更新程序） 2004 年 3 月 26 日

威胁评估

广度

* 广度级别： Medium

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Medium

* 大规模发送电子邮件： Sends itself to email addresses found in the local file system.

* 危及安全设置： Opens backdoor on TCP port 4751.

分发

* 分发级别： High

* 电子邮件的主题： none

* 附件名称： Random string of letters with a .exe extension (for example, jwopbh.exe).

* 附件大小： 8,208 bytes

* 端口： Opens a backdoor on TCP port 4751.

W32.Beagle.U@mm 运行时会执行下列操作

1. 如果系统时钟的年度为 2005 或之后，则蠕虫存在。

2. 将自身复制为 %System%\\gigabit.exe。

注意：%System% 是一个变量。蠕虫会找到 System 文件夹，并将自身复制到其中。默认情况下，此文件夹为 C:\\Windows\\System (Windows 95/98/Me)、C:\\Winnt\\System32 (Windows NT/2000) 或 C:\\Windows\\System32 (Windows XP)。

3. 将值：

"gigabit.exe"="%System%\\gigabit.exe"

添加到注册表键：

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

这样，此蠕虫便可在 Windows启动时运行。

4. 创建注册表键：

HKEY_CURRENT_USER\\SOFTWARE\\Windows2004.

5. 在 TCP 端口 4751 上打开后门，允许下载和执行文件。

6. 如果受感染的计算机上存在Microsoft 红心大战游戏的的可执行文件 Mshearts.exe，则尝试执行该文件。

7. 尝试通知受感染计算机的预定义 Web 服务器。

注意：如果系统时钟的年度为 2005 或之后，在该功能不起作用。

8. 搜索本地磁盘驱动器，在具有以下扩展名的文件中查找电子邮件地址：

* .wab

* .txt

* .msg

* .htm

* .shtm

* .stm

* .xml

* .dbx

* .mbx

* .mdx

* .eml

* .nch

* .mmf

* .ods

* .cfg

* .asp

* .php

* .pl

* .wsh

* .adb

* .tbb

* .sht

* .xls

* .oft

* .uin

* .cgi

* .mht

* .dhtm

* .jsp

9. 向其找到的地址发送电子邮件消息。电子邮件的“主题”和“正文”为空白，附件是具有随机文件名的蠕虫副本。附件名称包括随机字母字符串和 .exe 文件扩展名（如 jwopbh.exe）。

10. 避免向包含以下字符串的地址发送电子邮件消息：

* @avp

* @microsoft

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用 W32.Beagle@mm 杀毒工具进行移除

「赛门铁克安全机制应变中心」已经开发出一个杀毒工具，可移除 W32.Beagle.U@mm 的感染。请先使用此杀毒工具，因为它是移除这类威胁最简易的方法。

手动移除

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写，包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。

1. 关闭「系统还原」(Windows Me/XP)。

2. 更新病毒定义文件。

3. 执行完整的系统扫描，并删除所有侦测到的 W32.Beagle.U@mm 档案。

4. 删除蠕虫加入的注册键值。

如需关于这些步骤的详细信息，请阅读下列指示。

1. 关闭系统还原(Windows Me/XP)

如果您使用的是 Windows Me 或 Windows XP，我们建议您暂时关闭「系统还原」。Windows Me/XP 使用这个预设启用的功能，来还原您计算机上受损的档案。如果病毒、蠕虫或特洛伊木马感染的计算机，「系统还原」可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。

Windows 会防止包括防毒程序的外来程序修改「系统还原」。因此，防毒程序或是工具并无法移除「系统还原」数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染档案清除，「系统还原」还是很有可能会将受感染的档案一并还原至计算机中。

同时，病毒可能会侦测到「系统还原」数据夹里的威胁，即使您已移除该威胁亦然。

有关如何关闭「系统还原」的说明，请阅读您的 Windows 文件，或下列文章：

* 如何关闭或启用 Windows Me「系统还原」。

* 如何关闭或启用 Windows XP「系统还原」。

注意：当您全部完成了移除程序之后，并且确定威胁已经移除，请依循上述文件中的指示重新启用「系统还原」。

如需其它信息以及关闭 Windows Me「系统还原」的其它方法，请参阅 Microsoft 知识库的文章「病毒防护工具无法清除 _Restore 文件夹中受感染的文件」，文章识别码 (Article ID)：

2. 更新病毒定义文件

赛门铁克安全机制应变中心在将所有病毒定义文件公布于服务器之前已完成品质测试。您可以使用下列两种方式来取得最新的病毒定义文件：

* 执行 LiveUpdate 是获得病毒定义文件的最简单方法：这些病毒定义文件会每星期一次更新到 LiveUpdate 服务器上 (通常是星期三)，当有疫情发生时则例外。若要决定此威胁的定义档是否可由 LiveUpdate 取得，请参阅「病毒定义文件 (LiveUpdate)」。

* 使用 Intelligent Updater 下载定义档：Intelligent Updater 的病毒定义文件会在美国的工作日 (星期一到星期五) 公布。您必须由「赛门铁克安全机制应变中心」网站手动下载及安装定义档。若要决定此威胁的定义档是否可由 Intelligent Updater 取得，请参阅「病毒定义文件 (Intelligent Updater)」。

智能更新程序 (Intelligent Updater)病毒定义文件，详细指示说明请参阅「如何使用 Intelligent Updater 来更新病毒定义文件」文件。

3. 扫描并删除受感染的档案

1. 启动您的赛门铁克防毒程序，确定已架构为扫描所有档案。

* Norton AntiVirus 消费者产品：请阅读「如何设定 Norton AntiVirus 以扫描所有档案」文章。

* 赛门铁克企业版防毒产品：请阅读「如何确认 Symantec Corporate 防毒产品已设定为扫描所有档案」文章。

2. 执行完整系统扫描。

3. 如果侦测到任何受 W32.Beagle.U@mm 感染的档案，请按下「删除」。

4. 恢复对注册表所做的变更

警告：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示，请阅读「如何备份 Windows 的注册表」文件。

1. 按下「开始」，然后按下「执行」。(画面上便会出现「执行」对话框)。

2. 输入 regedit

然后按下「确定」。(「注册表编辑器」会开启)。

3. 跳到这个键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

4. 删除右边窗格中的值：

"gigabit.exe"="%System%\\gigabit.exe"

词条	W32.Beagle.U@mm
释义	W32.Beagle.U@mm是一种电脑病毒。它是 W32.Beagle.T@mm 的变种。该蠕虫将其自身作为使用空白主题和正文以及随机命名的附件的电子邮件进行发送。它还在 TCP 端口 4751 上打开后门。附件名称是使用 .exe 作为扩展名的随机字母字符串。基本信息(注意防护广度损坏) W32.Beagle.U@mm 运行时会执行下列操作建议手动移除(1. 关闭系统还原(Windows Me/XP) 2. 更新病毒定义文件 3. 扫描并删除受感染的档案 4. 恢复对注册表所做的变更 5. 跳到这个键： 6. 删除副键： 7. 结束系统注册表) 基本信息发现： 2004 年 3 月 26 日更新： 2007 年 2 月 13 日 12:22:47 PM 别名： Bagle.U [F-Secure], WORM_BAGLE.U [Trend], W32/Bagle-U [Sophos], W32/Bagle.u@MM [McAfee] 类型: Worm 感染长度： 8,208 bytes 受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP 注意 * 具有序列号 28833 或更新编号的快速发布定义将把该威胁检测为 W32.Beagle.U@mm。 * 这些定义之前的病毒定义将该威胁检测为 W32.Beagle.gen。 * Symantec 安全响应中心开发了一种杀毒工具，可用来清除 W32.Beagle.U@mm 感染。防护 * 病毒定义（每周 LiveUpdate™） 2004 年 3 月 26 日 * 病毒定义（智能更新程序） 2004 年 3 月 26 日威胁评估广度 * 广度级别： Medium * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： Medium * 威胁抑制： Easy * 清除： Moderate 损坏 * 损坏级别： Medium * 大规模发送电子邮件： Sends itself to email addresses found in the local file system. * 危及安全设置： Opens backdoor on TCP port 4751. 分发 * 分发级别： High * 电子邮件的主题： none * 附件名称： Random string of letters with a .exe extension (for example, jwopbh.exe). * 附件大小： 8,208 bytes * 端口： Opens a backdoor on TCP port 4751. W32.Beagle.U@mm 运行时会执行下列操作 1. 如果系统时钟的年度为 2005 或之后，则蠕虫存在。 2. 将自身复制为 %System%\\gigabit.exe。注意：%System% 是一个变量。蠕虫会找到 System 文件夹，并将自身复制到其中。默认情况下，此文件夹为 C:\\Windows\\System (Windows 95/98/Me)、C:\\Winnt\\System32 (Windows NT/2000) 或 C:\\Windows\\System32 (Windows XP)。 3. 将值： "gigabit.exe"="%System%\\gigabit.exe" 添加到注册表键： HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 这样，此蠕虫便可在 Windows启动时运行。 4. 创建注册表键： HKEY_CURRENT_USER\\SOFTWARE\\Windows2004. 5. 在 TCP 端口 4751 上打开后门，允许下载和执行文件。 6. 如果受感染的计算机上存在Microsoft 红心大战游戏的的可执行文件 Mshearts.exe，则尝试执行该文件。 7. 尝试通知受感染计算机的预定义 Web 服务器。注意：如果系统时钟的年度为 2005 或之后，在该功能不起作用。 8. 搜索本地磁盘驱动器，在具有以下扩展名的文件中查找电子邮件地址： * .wab * .txt * .msg * .htm * .shtm * .stm * .xml * .dbx * .mbx * .mdx * .eml * .nch * .mmf * .ods * .cfg * .asp * .php * .pl * .wsh * .adb * .tbb * .sht * .xls * .oft * .uin * .cgi * .mht * .dhtm * .jsp 9. 向其找到的地址发送电子邮件消息。电子邮件的“主题”和“正文”为空白，附件是具有随机文件名的蠕虫副本。附件名称包括随机字母字符串和 .exe 文件扩展名（如 jwopbh.exe）。 10. 避免向包含以下字符串的地址发送电子邮件消息： * @avp * @microsoft 建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。使用 W32.Beagle@mm 杀毒工具进行移除「赛门铁克安全机制应变中心」已经开发出一个杀毒工具，可移除 W32.Beagle.U@mm 的感染。请先使用此杀毒工具，因为它是移除这类威胁最简易的方法。手动移除下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写，包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。 1. 关闭「系统还原」(Windows Me/XP)。 2. 更新病毒定义文件。 3. 执行完整的系统扫描，并删除所有侦测到的 W32.Beagle.U@mm 档案。 4. 删除蠕虫加入的注册键值。如需关于这些步骤的详细信息，请阅读下列指示。 1. 关闭系统还原(Windows Me/XP) 如果您使用的是 Windows Me 或 Windows XP，我们建议您暂时关闭「系统还原」。Windows Me/XP 使用这个预设启用的功能，来还原您计算机上受损的档案。如果病毒、蠕虫或特洛伊木马感染的计算机，「系统还原」可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。 Windows 会防止包括防毒程序的外来程序修改「系统还原」。因此，防毒程序或是工具并无法移除「系统还原」数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染档案清除，「系统还原」还是很有可能会将受感染的档案一并还原至计算机中。同时，病毒可能会侦测到「系统还原」数据夹里的威胁，即使您已移除该威胁亦然。有关如何关闭「系统还原」的说明，请阅读您的 Windows 文件，或下列文章： * 如何关闭或启用 Windows Me「系统还原」。 * 如何关闭或启用 Windows XP「系统还原」。注意：当您全部完成了移除程序之后，并且确定威胁已经移除，请依循上述文件中的指示重新启用「系统还原」。如需其它信息以及关闭 Windows Me「系统还原」的其它方法，请参阅 Microsoft 知识库的文章「病毒防护工具无法清除 _Restore 文件夹中受感染的文件」，文章识别码 (Article ID)： 2. 更新病毒定义文件赛门铁克安全机制应变中心在将所有病毒定义文件公布于服务器之前已完成品质测试。您可以使用下列两种方式来取得最新的病毒定义文件： * 执行 LiveUpdate 是获得病毒定义文件的最简单方法：这些病毒定义文件会每星期一次更新到 LiveUpdate 服务器上 (通常是星期三)，当有疫情发生时则例外。若要决定此威胁的定义档是否可由 LiveUpdate 取得，请参阅「病毒定义文件 (LiveUpdate)」。 * 使用 Intelligent Updater 下载定义档：Intelligent Updater 的病毒定义文件会在美国的工作日 (星期一到星期五) 公布。您必须由「赛门铁克安全机制应变中心」网站手动下载及安装定义档。若要决定此威胁的定义档是否可由 Intelligent Updater 取得，请参阅「病毒定义文件 (Intelligent Updater)」。智能更新程序 (Intelligent Updater)病毒定义文件，详细指示说明请参阅「如何使用 Intelligent Updater 来更新病毒定义文件」文件。 3. 扫描并删除受感染的档案 1. 启动您的赛门铁克防毒程序，确定已架构为扫描所有档案。 * Norton AntiVirus 消费者产品：请阅读「如何设定 Norton AntiVirus 以扫描所有档案」文章。 * 赛门铁克企业版防毒产品：请阅读「如何确认 Symantec Corporate 防毒产品已设定为扫描所有档案」文章。 2. 执行完整系统扫描。 3. 如果侦测到任何受 W32.Beagle.U@mm 感染的档案，请按下「删除」。 4. 恢复对注册表所做的变更警告：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示，请阅读「如何备份 Windows 的注册表」文件。 1. 按下「开始」，然后按下「执行」。(画面上便会出现「执行」对话框)。 2. 输入 regedit 然后按下「确定」。(「注册表编辑器」会开启)。 3. 跳到这个键： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 4. 删除右边窗格中的值： "gigabit.exe"="%System%\\gigabit.exe" 5. 跳到这个键： HKEY_CURRENT_USER\\SOFTWARE 6. 删除副键： Windows2004 7. 结束系统注册表描述者： Benjamin Nahorney
随便看	成长记录册成长记录袋成长纪念册成长监测图成长教育成长空间成长快乐卡成长密方成长密码成长喷嚏成长青成长青春励志1 成长日记成长日记纸尿裤成长如裂成长如蜕成长三书成长上限模式成长胜经Ⅱ-触动孩子心灵的101个感动故事(小学生卷) 成长胜经Ⅱ-让孩子出类拔萃的101个激励故事(小学生卷) 成长胜经Ⅱ-让孩子勇敢出众的101个惊奇故事(小学生卷) 成长胜经Ⅱ-让孩子幽默乐观的101个快乐故事(小学生卷) 成长是艰辛的:高尔基的故事成长手册2005 成长树儿童康复园