词条 | Email-Worm.Win32.Bagle.cj |
释义 | 该病毒属邮件蠕虫类,属白鸽病毒家族的一个变种,病毒盗用Windows Xp下文本文档的图标,病毒第一次运行后则会打开notepad.exe,达到欺骗用户的目的。病毒运行后会复制原病毒副本到%system%\\svc23.exe,修改注册表文件,病毒还会创建几个互斥体,防止该变种的多个副本同时运行。连接网络,尝试下载病毒相关文件到本地运行。病毒主要通过搜索感染系统中某些扩展名的文件,获取其中的邮件地址,来发送病毒邮件,该病毒对用户有一定的危害。 Email-Worm.Win32.Bagle.cj病毒名称: Email-Worm.Win32.Bagle.cj 中文名称: 白鸽变种 病毒类型: 邮件蠕虫 文件 MD5: 1DD3808BF9BFBC234B3E18382E028825 公开范围: 完全公开 危害等级: 中 文件长度: 9,216 字节 感染系统: windows 98 以上版本 开发工具: Microsoft Visual C++ 加壳类型: 未知壳 命名对照: Symentec[Trojan.Lodav.k] Mcafee[W32/Bagle.gen] 行为分析:1、复制原病毒体到:%system%\\svc23.exe 2、修改注册表文件: HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\Ru1n 键值:字串:"erthgdr2"="%SYSTEM%\\svc23.exe" 3.创建如下互斥体,防止该变种的多个副本同时运行: MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 'D'r'o'p'p'e'd'S'k'y'N'e't' _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ 4、偿试从如下网址下载文件保存到WINDOWS目录,名为"eml.exe": http://carn****acting.com/2/web.php http://fpco****c.org/images/web.php http://clic****khare.com/images/web.php http://amer****ikansk-bulldog.dk/images/web.php http://goto****.mk.ua/images/web.php http://golo****smira.com/test/web.php http://even****tpeopleforyou.com/help/web.php http://phde****nmark.dk/images/web.php http://game****spy.cz/images/web.php http://fyey****e.com/lyra/web.php http://find****ingmodels.net/images/web.php http://duna****jec.zakliczyn.pnth.net/dunajec/web.php http://fibe****rfeed.com/images/web.php http://fibe****rdesign.co.uk/images/web.php http://liga****pichangueras.cl/images/web.php http://fami****liasmaltratadas.com/images/web.php http://falc****onframingco.com/images/web.php http://repr****esentacion4380.net/images/web.php http://eksh****rine.com/images/web.php http://drea****mdecor.com.pl/images/web.php http://down****withthesickness.com/images/web.php http://dore****lvis.com/images/web.php http://doel****ker-torbau.de/images/web.php http://dire****cteenhuis.nl/images/web.php http://dggr****aphicsonline.com/images/web.php http://esso****nline.us/images/web.php http://crea****cionesartisticasandaluzas.com/bovedas/web.php http://cptn****a.com/2/web.php 5、偿试从以下网址下载文件并保存到系统目录,而后运行,并重名为:re_file.exe http://***1/s1.php http://***2/s3.php 6、病毒通过发送含有病毒附件的邮件进行传播,附件名可能为: Increase_in_the_tax.zip Taxes.zip The_taxation.zip The_reporting_of_taxes.zip To_reduce_the_tax.zip Work and taxes.zip 当病毒邮件地址中包含如下字符串时则不会发送邮件: @eerswqe @derewrdgrs @microsoft rating@ f-secur news update anyone@ kasp bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案:1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程:svc23.exe (2) 删除病毒文件 %system%\\svc23.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Ru1n 键值:字串:"erthgdr2"="%SYSTEM%\\svc23.exe" |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。