简介

病毒描述

清除方案

简介

病毒名称： Email-Worm.Win32.Bagz.f

病毒类型： 病毒邮件

文件 MD5： 94E7E121E1116DC600E4F671228FC0D3

公开范围： 完全公开

危害等级： 中

文件长度： 29,117 字节

感染系统： windows 98 及以上版本

开发工具： Microsoft Visual C++ 5.0

加壳类型： UPX

命名对照： Symentec[W32.Bagz.F@mm]

Mcafee[W32/Bagz!dload]

病毒描述

该病毒属邮件蠕虫类，病毒主要通过发送病毒邮件来传播，病毒首次运行后会复制原病毒副本到%System%目录下，并修改注册表文件，病毒还会修改hosts文件，阻止用户访问某些反病毒及安全类网站，病毒通过搜索感染主机的某些扩展名的文件，来获取其中的邮件地址，当搜索到的邮件地址中包含某些字符时则不会发送，病毒邮件中的邮件标题，主体信息从列表中随即选择，其中病毒附件为双扩展名。该病毒对用户有一定的危害。

行为分析：

1、病毒运行后会复制自身到：

%System%\\sysinfo32.exe

%System%\\trace32.exe

%System%\\sqlssl.doc　.exe

2、修改注册表文件，创建服务：

HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA

服务名：Windows Secure SS

3、病毒查找以下扩展名的文件，获取其中的邮件地址：

TBB

tbb

TBI

tbi

DBX

dbx

HTM

htm

TXT

txt

当搜索到的邮件地址中包含以下字符，则不会发送：

@avp

@foo

@iana

@messagelab

@microsoft

contact@

contract@

feste

free-av

f-secur

gold-

gold-certs@

google

help@

hostmaster@

icrosoft

info@

kasp

abuse

admin

administrator@

all@

anyone@

linux

listserv

local

netadmin@

news

nobody@

noone@

noreply

ntivi

oocies

panda

pgp

postmaster@

bsd

bugs@

cafee

certific

rating@

root@

samples

sopho

spam

support

support@

unix

update

webmaster@

winrar

winzip

certs@

病毒邮件的主体可能为：

Message body (chosen at random from the list below):

Hi

Did you get the previous document I attached for you?

I resent it in this email just in case, because I really need you to check it out asap.

Best Regards

Hi

I made a mistake and forgot to click attach on the previous email I sent you.

Please give me your opinion on this opportunity when you get a chance.

Best Regards

Hi

I was supposed to send you this document yesterday.

Sorry for the delay, please forward this to your family if possible.

It contains important info for both of you.

Hi

Sorry, I forgot to send an important document to you in that last email. I had an important phone call.

Please checkout attached doc file when you have a moment.

Best Regards

病毒附件有双扩展名，

about.doc.exe

admin.doc .exe

archivator.doc　.exe

archives.doc　.exe

ataches.doc　.exe

backup.doc　.exe

docs.doc .exe

documentation.doc　.exe

save.doc　.exe

sqlssl.doc　.exe

help.doc　.exe

inbox.doc　.exe

manual.doc　.exe

outbox.doc .exe

payment.doc　.exe

photos.doc .exe

rar.doc　.exe

readme.doc　.exe

zip.doc　.exe

修改系统的 "%System%\\drivers\\etc\\hosts" ，在hosts文件中加入以下内容，阻止用户访问这些网站：

127.0.0.1 ad.doubleclick.net

127.0.0.1 ad.fastclick.net

127.0.0.1 ads.fastclick.net

127.0.0.1 ar.atwola.com

127.0.0.1 atdmt.com

127.0.0.1 avp.ch

127.0.0.1 avp.com

……

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%System%\\sysinfo32.exe

%System%\\trace32.exe

%System%\\sqlssl.doc　.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA

服务名：Windows Secure SS

(4) 修改%System%\\drivers\\etc\\hosts文件，删除多余的地址。