词条 | Worm.Beagle.o |
释义 | Worm.Beagle.o,中文名“恶鹰变种”,计算机病毒的一种。使系统反应明显变慢,它会伪造amp,acdsee,photoshop等。方法是看受的邮件附件里有无com,exe,scr.cpl的程序,有则立刻杀死。 病毒评估1.病毒中文名:恶鹰 2.病毒英文名:Worm.Bbeagle.q 3.病毒大小:26,557字节 4.病毒类型:蠕虫病毒 5.病毒危险等级:★★★★ 6.病毒传播途径:网络,文件感染 7.病毒依赖系统:Windows 9X/NT/2000/XPA 病毒危害病毒建立两个服务线程分别监听81和2556端口,给系统留后门,并驻留内存不断对磁盘进行遍历,进行邮件传播,文件感染,大大降低系统性能。 病毒报告UPX压缩,VC++6.0编写,蠕虫。一旦执行,病毒将自我复制到系统文件夹. 文件名为:direct.exe及direct.exeopen 它将创建下列注册表键值来使自己随Windows系统自启动: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run " direct.exe "="%SYSDIR%\\ direct.exe" 病毒将删除一些注册表键值: HKEY_CURRENT_USER \\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 及HKEY_LOCAL_MACHINE \\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下的以下键: My AV, Zone Labs Client Ex, 9XhtProtect, Antivirus, Special Firewall Service, service Tiny AV, ICQNet, HtProtect, NetDy, ICQ Net 监视: 病毒建立一个线程,对系统进行监控。杀死进程名和体内“黑名单”中相符的进程。 以下是病毒体内的进程“黑名单” CMGRDIAN.EXE, CMON016.EXE, CPF9X206.EXE, CPFNT206.EXE, CWNB181.EXE, CWNTDWMO.EXE,FP-WIN_TRIAL.EXE,FSAV.EXE,ICLOAD95.EXE, ICLOADNT.EXE, HACKTRACERSETUP.EXE, KAVLITE40ENG.EXE, AUPDATE.EXE, HWPE.EXE等等.. 邮件,PE文件传播: 病毒遍历系统磁盘,当发现扩展名为:.wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp时病毒将打开该文件并尝试从中提取email地址并向该地址发送带 毒邮件。 当扩扩展名为:.exe的病毒将尝试对其进行文件感染。 在遍历过程中,当目录名存在“shar”字串时,病毒将自己复制到该目录下,文件名为 :Microsoft Office 2003 Crack, Working!.exe, Microsoft Windows XP, WinXP Crack, working Keygen.exe, Microsoft Office XP working Crack, Keygen.exe, Porno, sex, oral, anal cool, awesome!!.exe, Porno Screensaver.scr, Serials.txt.exe, Porno pics arhive, xxx.exe, Windows Sourcecode update.doc.exe, Ahead Nero 7.exe, Windown Longhorn Beta Leak.exe, Opera 8 New!.exe, XXX hardcore images.exe, WinAmp 6 New!.exe, WinAmp 5 Pro Keygen Crack Update.exe, Adobe Photoshop 9 full.exe, Matrix 3 Revolution English Subtitles.exe….. 邮件特征: 包含以下字串: RE: Text message,Re: Document,Incoming message,Re: Incoming Message,RE: Protected message,Forum notify,Site changes,Encrypted document,Re: Hi,E-mail warning, Notify about your e-mail account utilization.,Notify from e-mail technical support., 附件为一个:加了密的zip文件(病毒) 邮件还将附上zip文件的密码(一个病毒生成的bmp图) 后门线程: 病毒监听81端口接,向联接上来的客户端发送以下脚本。 病毒监听: 监听2556端口接受一些客户端传来的特定命令。 注:病毒将在2005年12月31日以后失去传播能力,病毒将自我删除。 病毒防治1.进行升级瑞星公司将于当天进行升级,升级后的软件版本号为16.18.30,该版本的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能。 2.使用专杀工具鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以进行免费下载,并进行该病毒的清除。 3.使用在线杀毒和下载版用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途径,用户可以登陆使用在线杀毒产品,或者登使用下载版产品。 4.打电话求救如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电来寻求反病毒专家的帮助! 5.手动清除(1)打开注册表编辑器,删除如下键值<如果存在的话>: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run " direct.exe"="%SYSDIR%\\ direct.exe" (2)打开任务管理器查看是否存在进程名为: direct.exe终止它 (3)将%SYSDIR%目录下的文件: direct.exe删除 注:%SYSDIR%位Windows系统的安装目录,在Windows 9X/ME/XP下默认为:C:\\WINDOWS\\SYSTEM,Win2K下默认为:C:\\WINNT\\SYSTEM32。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。