“Email-Worm.Win32.Bagle.cj”的意思、由来-中文百科全书

Email-Worm.Win32.Bagle.cj

病毒名称： Email-Worm.Win32.Bagle.cj

中文名称：白鸽变种

病毒类型：邮件蠕虫

文件 MD5： 1DD3808BF9BFBC234B3E18382E028825

公开范围：完全公开

危害等级：中

文件长度： 9,216 字节

感染系统： windows 98 以上版本

开发工具： Microsoft Visual C++

加壳类型：未知壳

命名对照： Symentec[Trojan.Lodav.k]

Mcafee[W32/Bagle.gen]

行为分析：

1、复制原病毒体到：%system%\\svc23.exe

2、修改注册表文件：

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\CurrentVersion\\Ru1n

键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe"

3.创建如下互斥体，防止该变种的多个副本同时运行：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

4、偿试从如下网址下载文件保存到WINDOWS目录，名为"eml.exe"：

http：//carn****acting.com/2/web.php

http：//fpco****c.org/images/web.php

http：//clic****khare.com/images/web.php

http：//amer****ikansk-bulldog.dk/images/web.php

http：//goto****.mk.ua/images/web.php

http：//golo****smira.com/test/web.php

http：//even****tpeopleforyou.com/help/web.php

http：//phde****nmark.dk/images/web.php

http：//game****spy.cz/images/web.php

http：//fyey****e.com/lyra/web.php

http：//find****ingmodels.net/images/web.php

http：//duna****jec.zakliczyn.pnth.net/dunajec/web.php

http：//fibe****rfeed.com/images/web.php

http：//fibe****rdesign.co.uk/images/web.php

http：//liga****pichangueras.cl/images/web.php

http：//fami****liasmaltratadas.com/images/web.php

http：//falc****onframingco.com/images/web.php

http：//repr****esentacion4380.net/images/web.php

http：//eksh****rine.com/images/web.php

http：//drea****mdecor.com.pl/images/web.php

http：//down****withthesickness.com/images/web.php

http：//dore****lvis.com/images/web.php

http：//doel****ker-torbau.de/images/web.php

http：//dire****cteenhuis.nl/images/web.php

http：//dggr****aphicsonline.com/images/web.php

http：//esso****nline.us/images/web.php

http：//crea****cionesartisticasandaluzas.com/bovedas/web.php

http：//cptn****a.com/2/web.php

5、偿试从以下网址下载文件并保存到系统目录，而后运行，并重名为：re_file.exe

http：//***1/s1.php

http：//***2/s3.php

6、病毒通过发送含有病毒附件的邮件进行传播，附件名可能为：

Increase_in_the_tax.zip

Taxes.zip

The_taxation.zip

The_reporting_of_taxes.zip

To_reduce_the_tax.zip

Work and taxes.zip

当病毒邮件地址中包含如下字符串时则不会发送邮件：

@eerswqe

@derewrdgrs

@microsoft

rating@

f-secur

news

update

anyone@

kasp

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程：svc23.exe

(2) 删除病毒文件

%system%\\svc23.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Ru1n

键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe"

词条	Email-Worm.Win32.Bagle.cj
释义	该病毒属邮件蠕虫类，属白鸽病毒家族的一个变种，病毒盗用Windows Xp下文本文档的图标，病毒第一次运行后则会打开notepad.exe，达到欺骗用户的目的。病毒运行后会复制原病毒副本到%system%\\svc23.exe，修改注册表文件，病毒还会创建几个互斥体，防止该变种的多个副本同时运行。连接网络，尝试下载病毒相关文件到本地运行。病毒主要通过搜索感染系统中某些扩展名的文件，获取其中的邮件地址，来发送病毒邮件，该病毒对用户有一定的危害。 Email-Worm.Win32.Bagle.cj 行为分析：清除方案： Email-Worm.Win32.Bagle.cj 病毒名称： Email-Worm.Win32.Bagle.cj 中文名称：白鸽变种病毒类型：邮件蠕虫文件 MD5： 1DD3808BF9BFBC234B3E18382E028825 公开范围：完全公开危害等级：中文件长度： 9,216 字节感染系统： windows 98 以上版本开发工具： Microsoft Visual C++ 加壳类型：未知壳命名对照： Symentec[Trojan.Lodav.k] Mcafee[W32/Bagle.gen] 行为分析： 1、复制原病毒体到：%system%\\svc23.exe 2、修改注册表文件： HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\Ru1n 键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe" 3.创建如下互斥体，防止该变种的多个副本同时运行： MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 'D'r'o'p'p'e'd'S'k'y'N'e't' _-oOaxX\|-+S+-+k+-+y+-+N+-+e+-+t+-\|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX\|-S-k-y-N-e-t-\|Xx[Oo-_ 4、偿试从如下网址下载文件保存到WINDOWS目录，名为"eml.exe"： http：//carn**acting.com/2/web.php http：//fpcoc.org/images/web.php http：//clickhare.com/images/web.php http：//amerikansk-bulldog.dk/images/web.php http：//goto.mk.ua/images/web.php http：//golosmira.com/test/web.php http：//eventpeopleforyou.com/help/web.php http：//phdenmark.dk/images/web.php http：//gamespy.cz/images/web.php http：//fyeye.com/lyra/web.php http：//findingmodels.net/images/web.php http：//dunajec.zakliczyn.pnth.net/dunajec/web.php http：//fiberfeed.com/images/web.php http：//fiberdesign.co.uk/images/web.php http：//ligapichangueras.cl/images/web.php http：//familiasmaltratadas.com/images/web.php http：//falconframingco.com/images/web.php http：//representacion4380.net/images/web.php http：//ekshrine.com/images/web.php http：//dreamdecor.com.pl/images/web.php http：//downwiththesickness.com/images/web.php http：//dorelvis.com/images/web.php http：//doelker-torbau.de/images/web.php http：//directeenhuis.nl/images/web.php http：//dggraphicsonline.com/images/web.php http：//essonline.us/images/web.php http：//creacionesartisticasandaluzas.com/bovedas/web.php http：//cptna.com/2/web.php 5、偿试从以下网址下载文件并保存到系统目录，而后运行，并重名为：re_file.exe http：//1/s1.php http：//**2/s3.php 6、病毒通过发送含有病毒附件的邮件进行传播，附件名可能为： Increase_in_the_tax.zip Taxes.zip The_taxation.zip The_reporting_of_taxes.zip To_reduce_the_tax.zip Work and taxes.zip 当病毒邮件地址中包含如下字符串时则不会发送邮件： @eerswqe @derewrdgrs @microsoft rating@ f-secur news update anyone@ kasp bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ 注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。清除方案： 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程：svc23.exe (2) 删除病毒文件 %system%\\svc23.exe (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Ru1n 键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe"
随便看	nvvsvc.exe NV工作室 NV语音芯片 NW N.W.A NWA NWA482 NWA978 nwc NWChem NW-E407 nwiz nwiz.exe NWLink NWLink IPX/SPX/NetBIOS nwnvault nwo nwpn nwtray.exe nwupl NWZ B152F NWZ S544 NW酸 NX NX4528