词条 | Email-Worm.Win32.Bagle.fj |
释义 | 病毒属邮件蠕虫类,为白鸽病毒家族最新变种,病毒运行后会复制自身到%System%\\sysformat.exe,并释放三个备份文件,而后修改注册表文件,添加到启动项,修改注册表中安全配置,并新建子键来标致该系统已被感染。创建互斥体,保证每次只有一个病毒副本运行。病毒还会修改“%System%\\drivers\\etc\\hosts”文件,阻止用户访问一些反病毒及安全网站。该病毒对用户有一定危害。 病毒特征病毒名称: Email-Worm.Win32.Bagle.fj 中文名称: Bagle.fj变种 病毒类型: 邮件蠕虫 文件 MD5: A3E27490DE9FCCD945FDA6D6E4698823 公开范围: 完全公开 危害等级: 中 文件长度: 18,906 字节 感染系统: Windows 98 及以上版本 开发工具: Microsoft Visual C++ 加壳类型: yoda's Crypter 命名对照: Symentec[Trojan.Lodav.w] Mcafee[W32/Bagle.gen] 行为分析:1、病毒运行后复制自身到:%System%\\sysformat.exe %System%\\sysformat.exeopen %System%\\sysformat.exeopenopen %System%\\sysformat.exeopenopenopenopen 2、创建互斥体,使得每次只有一个病毒副本运行: MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ 3、修改注册表文件:添加到启动项: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Run 键值:字串:"sysformat" = "%System%\\sysformat.exe" 新建键值,表示该系统已被感染: HKEY_CURRENT_USER\\Software\\Microsoft\\Params 键值:字串:"FirstRun" = "01" 修改系统安全配置: HKEY_LOCAL_METHINE\\System\\CurrentControlSet \\Services\\SharedAccess 键值:字串:"Start" = "4" 4、盗用文件病毒盗用Windows xp下.txt文件的图标,病毒第一次运行后会打开记事本。 5、传播病毒病毒主要通过发送含有病毒附件的电子邮件传播: 病毒通过查找以下扩展名的文件来获取其中的邮件地址: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht shtm .stm .tbb .txt .uin .wab .wsh .xls .xml 当邮件地址中包含以下字符串时,病毒则不会发送邮件: @avp. @foo @iana @messagelab @microsoft abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix …… 病毒邮件的主题可能为: Delivery by mail Delivery service mail February price Is delivered mail price Registration is accepted You are made active 病毒邮件的附件名可能为: 21_price.zip February_price.zip guupd02.zip Jol03.zip new_price.zip price.zip pricelist.zip pricelst.zip siupd02.zip upd02.zip viupd02.zip wsd01.zip zupd02.zip 6、利用p2p传播该病毒也可以利用P2P软件来传播,通过搜索并复制原病毒副本到含有“shar”字符串的文件夹中,其中病毒名可能为: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Matrix 3 Revolution English Subtitles.exe Opera 8 New!.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe XXX hardcore images.exe 1.exe 10.exe 2.exe 3.exe 4.exe …… 7、终止遍历当前进程,当查找到以下进程名时,便将其终止: alogserv.exe APVXDWIN.EXE ATUPDATER.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE Avconsol.exe AVENGINE.EXE AVPUPD.EXE Avsynmgr.exe AVWUPD32.EXE AVXQUAR.EXE AVXQUAR.EXE bawindo.exe blackd.exe ccApp.exe ccEvtMgr.exe ccProxy.exe ccPxySvc.exe CFIAUDIT.EXE DefWatch.exe DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE FIREWALL.EXE 8、修改文件病毒还会修改“%System%\\drivers\\etc\\hosts”文件,在hosts文件中添加如下内容: 127.0.0.1 localhost 127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com 127.0.0.1 avp.ru 127.0.0.1 awaps.net 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 go.microsoft.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 media.fastclick.net 127.0.0.1 msdn.microsoft.com …… 127.0.0.1 banner.fastclick.net 127.0.0.1 banners.fastclick.net 127.0.0.1 ca.com 127.0.0.1 click.atdmt.com 127.0.0.1 clicks.atdmt.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 engine.awaps.net 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 office.microsoft.com 127.0.0.1 phx.corporate-ir.net 127.0.0.1 secure.nai.com 127.0.0.1 service1.symantec.com 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案:1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒释放的这几个文件: %System%\\sysformat.exe %System%\\sysformat.exeopen %System%\\sysformat.exeopenopen %System%\\sysformat.exeopenopenopenopen (3) 恢复病毒修改的注册表项目,删除以下键值: 添加到启动项: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Run 键值:字串:"sysformat" = "%System%\\sysformat.exe" 新建键值,表示该系统已被感染: HKEY_CURRENT_USER\\Software\\Microsoft\\Params 键值:字串:"FirstRun" = "01" 修改系统安全配置: HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services \\SharedAccess 键值:字串:"Start" = "4" (4) 修改“%System%\\drivers\\etc\\hosts”文件,删除新增的地址列表。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。