词条 | Email-Worm.Win32.Bagz.f |
释义 | 简介病毒名称: Email-Worm.Win32.Bagz.f 病毒类型: 病毒邮件 文件 MD5: 94E7E121E1116DC600E4F671228FC0D3 公开范围: 完全公开 危害等级: 中 文件长度: 29,117 字节 感染系统: windows 98 及以上版本 开发工具: Microsoft Visual C++ 5.0 加壳类型: UPX 命名对照: Symentec[W32.Bagz.F@mm] Mcafee[W32/Bagz!dload] 病毒描述该病毒属邮件蠕虫类,病毒主要通过发送病毒邮件来传播,病毒首次运行后会复制原病毒副本到%System%目录下,并修改注册表文件,病毒还会修改hosts文件,阻止用户访问某些反病毒及安全类网站,病毒通过搜索感染主机的某些扩展名的文件,来获取其中的邮件地址,当搜索到的邮件地址中包含某些字符时则不会发送,病毒邮件中的邮件标题,主体信息从列表中随即选择,其中病毒附件为双扩展名。该病毒对用户有一定的危害。 行为分析: 1、病毒运行后会复制自身到: %System%\\sysinfo32.exe %System%\\trace32.exe %System%\\sqlssl.doc .exe 2、修改注册表文件,创建服务: HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA 服务名:Windows Secure SS 3、病毒查找以下扩展名的文件,获取其中的邮件地址: TBB tbb TBI tbi DBX dbx HTM htm TXT txt 当搜索到的邮件地址中包含以下字符,则不会发送: @avp @foo @iana @messagelab @microsoft contact@ contract@ feste free-av f-secur gold- gold-certs@ help@ hostmaster@ icrosoft info@ kasp abuse admin administrator@ all@ anyone@ linux listserv local netadmin@ news nobody@ noone@ noreply ntivi oocies panda pgp postmaster@ bsd bugs@ cafee certific rating@ root@ samples sopho spam support support@ unix update webmaster@ winrar winzip certs@ 病毒邮件的主体可能为: Message body (chosen at random from the list below): Hi Did you get the previous document I attached for you? I resent it in this email just in case, because I really need you to check it out asap. Best Regards Hi I made a mistake and forgot to click attach on the previous email I sent you. Please give me your opinion on this opportunity when you get a chance. Best Regards Hi I was supposed to send you this document yesterday. Sorry for the delay, please forward this to your family if possible. It contains important info for both of you. Hi Sorry, I forgot to send an important document to you in that last email. I had an important phone call. Please checkout attached doc file when you have a moment. Best Regards 病毒附件有双扩展名, about.doc.exe admin.doc .exe archivator.doc .exe archives.doc .exe ataches.doc .exe backup.doc .exe docs.doc .exe documentation.doc .exe save.doc .exe sqlssl.doc .exe help.doc .exe inbox.doc .exe manual.doc .exe outbox.doc .exe payment.doc .exe photos.doc .exe rar.doc .exe readme.doc .exe zip.doc .exe 修改系统的 "%System%\\drivers\\etc\\hosts" ,在hosts文件中加入以下内容,阻止用户访问这些网站: 127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com …… 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 %System%\\sysinfo32.exe %System%\\trace32.exe %System%\\sqlssl.doc .exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA 服务名:Windows Secure SS (4) 修改%System%\\drivers\\etc\\hosts文件,删除多余的地址。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。