“Email-Worm.Win32.Bagle.cj”的意思、由来-中文百科全书

Email-Worm.Win32.Bagle.cj

病毒名称： Email-Worm.Win32.Bagle.cj

中文名称：白鸽变种

病毒类型：邮件蠕虫

文件 MD5： 1DD3808BF9BFBC234B3E18382E028825

公开范围：完全公开

危害等级：中

文件长度： 9,216 字节

感染系统： windows 98 以上版本

开发工具： Microsoft Visual C++

加壳类型：未知壳

命名对照： Symentec[Trojan.Lodav.k]

Mcafee[W32/Bagle.gen]

行为分析：

1、复制原病毒体到：%system%\\svc23.exe

2、修改注册表文件：

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\CurrentVersion\\Ru1n

键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe"

3.创建如下互斥体，防止该变种的多个副本同时运行：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

4、偿试从如下网址下载文件保存到WINDOWS目录，名为"eml.exe"：

http：//carn****acting.com/2/web.php

http：//fpco****c.org/images/web.php

http：//clic****khare.com/images/web.php

http：//amer****ikansk-bulldog.dk/images/web.php

http：//goto****.mk.ua/images/web.php

http：//golo****smira.com/test/web.php

http：//even****tpeopleforyou.com/help/web.php

http：//phde****nmark.dk/images/web.php

http：//game****spy.cz/images/web.php

http：//fyey****e.com/lyra/web.php

http：//find****ingmodels.net/images/web.php

http：//duna****jec.zakliczyn.pnth.net/dunajec/web.php

http：//fibe****rfeed.com/images/web.php

http：//fibe****rdesign.co.uk/images/web.php

http：//liga****pichangueras.cl/images/web.php

http：//fami****liasmaltratadas.com/images/web.php

http：//falc****onframingco.com/images/web.php

http：//repr****esentacion4380.net/images/web.php

http：//eksh****rine.com/images/web.php

http：//drea****mdecor.com.pl/images/web.php

http：//down****withthesickness.com/images/web.php

http：//dore****lvis.com/images/web.php

http：//doel****ker-torbau.de/images/web.php

http：//dire****cteenhuis.nl/images/web.php

http：//dggr****aphicsonline.com/images/web.php

http：//esso****nline.us/images/web.php

http：//crea****cionesartisticasandaluzas.com/bovedas/web.php

http：//cptn****a.com/2/web.php

5、偿试从以下网址下载文件并保存到系统目录，而后运行，并重名为：re_file.exe

http：//***1/s1.php

http：//***2/s3.php

6、病毒通过发送含有病毒附件的邮件进行传播，附件名可能为：

Increase_in_the_tax.zip

Taxes.zip

The_taxation.zip

The_reporting_of_taxes.zip

To_reduce_the_tax.zip

Work and taxes.zip

当病毒邮件地址中包含如下字符串时则不会发送邮件：

@eerswqe

@derewrdgrs

@microsoft

rating@

f-secur

news

update

anyone@

kasp

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程：svc23.exe

(2) 删除病毒文件

%system%\\svc23.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Ru1n

键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe"

词条	Email-Worm.Win32.Bagle.cj
释义	该病毒属邮件蠕虫类，属白鸽病毒家族的一个变种，病毒盗用Windows Xp下文本文档的图标，病毒第一次运行后则会打开notepad.exe，达到欺骗用户的目的。病毒运行后会复制原病毒副本到%system%\\svc23.exe，修改注册表文件，病毒还会创建几个互斥体，防止该变种的多个副本同时运行。连接网络，尝试下载病毒相关文件到本地运行。病毒主要通过搜索感染系统中某些扩展名的文件，获取其中的邮件地址，来发送病毒邮件，该病毒对用户有一定的危害。 Email-Worm.Win32.Bagle.cj 行为分析：清除方案： Email-Worm.Win32.Bagle.cj 病毒名称： Email-Worm.Win32.Bagle.cj 中文名称：白鸽变种病毒类型：邮件蠕虫文件 MD5： 1DD3808BF9BFBC234B3E18382E028825 公开范围：完全公开危害等级：中文件长度： 9,216 字节感染系统： windows 98 以上版本开发工具： Microsoft Visual C++ 加壳类型：未知壳命名对照： Symentec[Trojan.Lodav.k] Mcafee[W32/Bagle.gen] 行为分析： 1、复制原病毒体到：%system%\\svc23.exe 2、修改注册表文件： HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\Ru1n 键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe" 3.创建如下互斥体，防止该变种的多个副本同时运行： MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 'D'r'o'p'p'e'd'S'k'y'N'e't' _-oOaxX\|-+S+-+k+-+y+-+N+-+e+-+t+-\|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX\|-S-k-y-N-e-t-\|Xx[Oo-_ 4、偿试从如下网址下载文件保存到WINDOWS目录，名为"eml.exe"： http：//carn**acting.com/2/web.php http：//fpcoc.org/images/web.php http：//clickhare.com/images/web.php http：//amerikansk-bulldog.dk/images/web.php http：//goto.mk.ua/images/web.php http：//golosmira.com/test/web.php http：//eventpeopleforyou.com/help/web.php http：//phdenmark.dk/images/web.php http：//gamespy.cz/images/web.php http：//fyeye.com/lyra/web.php http：//findingmodels.net/images/web.php http：//dunajec.zakliczyn.pnth.net/dunajec/web.php http：//fiberfeed.com/images/web.php http：//fiberdesign.co.uk/images/web.php http：//ligapichangueras.cl/images/web.php http：//familiasmaltratadas.com/images/web.php http：//falconframingco.com/images/web.php http：//representacion4380.net/images/web.php http：//ekshrine.com/images/web.php http：//dreamdecor.com.pl/images/web.php http：//downwiththesickness.com/images/web.php http：//dorelvis.com/images/web.php http：//doelker-torbau.de/images/web.php http：//directeenhuis.nl/images/web.php http：//dggraphicsonline.com/images/web.php http：//essonline.us/images/web.php http：//creacionesartisticasandaluzas.com/bovedas/web.php http：//cptna.com/2/web.php 5、偿试从以下网址下载文件并保存到系统目录，而后运行，并重名为：re_file.exe http：//1/s1.php http：//**2/s3.php 6、病毒通过发送含有病毒附件的邮件进行传播，附件名可能为： Increase_in_the_tax.zip Taxes.zip The_taxation.zip The_reporting_of_taxes.zip To_reduce_the_tax.zip Work and taxes.zip 当病毒邮件地址中包含如下字符串时则不会发送邮件： @eerswqe @derewrdgrs @microsoft rating@ f-secur news update anyone@ kasp bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ 注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。清除方案： 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程：svc23.exe (2) 删除病毒文件 %system%\\svc23.exe (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Ru1n 键值：字串："erthgdr2"="%SYSTEM%\\svc23.exe"
随便看	肥肠茄子煲肥肠砂锅肥肠水煮鱼肥肠鱼肥肠炖豆腐肥城肥城阿斯德化工有限公司肥城宝盛大酒店肥城电脑维修网肥城电视台肥城二中肥城房产网肥城佛桃肥城集智化工有限公司肥城京欣小学肥城矿业集团肥城矿业集团公司中学肥城矿业集团有限责任公司肥城矿业集团中心医院肥城矿业中心医院肥城拉呱肥城联谊工程塑料有限公司肥城联谊土工格栅有限公司肥城六中肥城龙山塔