“Email-Worm.Win32.Bagz.f”的意思、由来-中文百科全书

简介

病毒名称： Email-Worm.Win32.Bagz.f

病毒类型：病毒邮件

文件 MD5： 94E7E121E1116DC600E4F671228FC0D3

公开范围：完全公开

危害等级：中

文件长度： 29,117 字节

感染系统： windows 98 及以上版本

开发工具： Microsoft Visual C++ 5.0

加壳类型： UPX

命名对照： Symentec[W32.Bagz.F@mm]

Mcafee[W32/Bagz!dload]

病毒描述

该病毒属邮件蠕虫类，病毒主要通过发送病毒邮件来传播，病毒首次运行后会复制原病毒副本到%System%目录下，并修改注册表文件，病毒还会修改hosts文件，阻止用户访问某些反病毒及安全类网站，病毒通过搜索感染主机的某些扩展名的文件，来获取其中的邮件地址，当搜索到的邮件地址中包含某些字符时则不会发送，病毒邮件中的邮件标题，主体信息从列表中随即选择，其中病毒附件为双扩展名。该病毒对用户有一定的危害。

行为分析：

1、病毒运行后会复制自身到：

%System%\\sysinfo32.exe

%System%\\trace32.exe

%System%\\sqlssl.doc　.exe

2、修改注册表文件，创建服务：

HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA

服务名：Windows Secure SS

3、病毒查找以下扩展名的文件，获取其中的邮件地址：

TBB

tbb

TBI

tbi

DBX

dbx

HTM

htm

TXT

txt

当搜索到的邮件地址中包含以下字符，则不会发送：

@avp

@foo

@iana

@messagelab

@microsoft

contact@

contract@

feste

free-av

f-secur

gold-

gold-certs@

google

help@

hostmaster@

icrosoft

info@

kasp

abuse

admin

administrator@

all@

anyone@

linux

listserv

local

netadmin@

news

nobody@

noone@

noreply

ntivi

oocies

panda

pgp

postmaster@

bsd

bugs@

cafee

certific

rating@

root@

samples

sopho

spam

support

support@

unix

update

webmaster@

winrar

winzip

certs@

病毒邮件的主体可能为：

Message body (chosen at random from the list below):

Did you get the previous document I attached for you?

I resent it in this email just in case, because I really need you to check it out asap.

Best Regards

I made a mistake and forgot to click attach on the previous email I sent you.

Please give me your opinion on this opportunity when you get a chance.

Best Regards

I was supposed to send you this document yesterday.

Sorry for the delay, please forward this to your family if possible.

It contains important info for both of you.

Sorry, I forgot to send an important document to you in that last email. I had an important phone call.

Please checkout attached doc file when you have a moment.

Best Regards

病毒附件有双扩展名，

about.doc.exe

admin.doc .exe

archivator.doc　.exe

archives.doc　.exe

ataches.doc　.exe

backup.doc　.exe

docs.doc .exe

documentation.doc　.exe

save.doc　.exe

sqlssl.doc　.exe

help.doc　.exe

inbox.doc　.exe

manual.doc　.exe

outbox.doc .exe

payment.doc　.exe

photos.doc .exe

rar.doc　.exe

readme.doc　.exe

zip.doc　.exe

修改系统的 "%System%\\drivers\\etc\\hosts" ，在hosts文件中加入以下内容，阻止用户访问这些网站：

127.0.0.1 ad.doubleclick.net

127.0.0.1 ad.fastclick.net

127.0.0.1 ads.fastclick.net

127.0.0.1 ar.atwola.com

127.0.0.1 atdmt.com

127.0.0.1 avp.ch

127.0.0.1 avp.com

……

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%System%\\sysinfo32.exe

%System%\\trace32.exe

%System%\\sqlssl.doc　.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA

服务名：Windows Secure SS

(4) 修改%System%\\drivers\\etc\\hosts文件，删除多余的地址。

词条	Email-Worm.Win32.Bagz.f
释义	简介病毒描述清除方案简介病毒名称： Email-Worm.Win32.Bagz.f 病毒类型：病毒邮件文件 MD5： 94E7E121E1116DC600E4F671228FC0D3 公开范围：完全公开危害等级：中文件长度： 29,117 字节感染系统： windows 98 及以上版本开发工具： Microsoft Visual C++ 5.0 加壳类型： UPX 命名对照： Symentec[W32.Bagz.F@mm] Mcafee[W32/Bagz!dload] 病毒描述该病毒属邮件蠕虫类，病毒主要通过发送病毒邮件来传播，病毒首次运行后会复制原病毒副本到%System%目录下，并修改注册表文件，病毒还会修改hosts文件，阻止用户访问某些反病毒及安全类网站，病毒通过搜索感染主机的某些扩展名的文件，来获取其中的邮件地址，当搜索到的邮件地址中包含某些字符时则不会发送，病毒邮件中的邮件标题，主体信息从列表中随即选择，其中病毒附件为双扩展名。该病毒对用户有一定的危害。行为分析： 1、病毒运行后会复制自身到： %System%\\sysinfo32.exe %System%\\trace32.exe %System%\\sqlssl.doc　.exe 2、修改注册表文件，创建服务： HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA 服务名：Windows Secure SS 3、病毒查找以下扩展名的文件，获取其中的邮件地址： TBB tbb TBI tbi DBX dbx HTM htm TXT txt 当搜索到的邮件地址中包含以下字符，则不会发送： @avp @foo @iana @messagelab @microsoft contact@ contract@ feste free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ kasp abuse admin administrator@ all@ anyone@ linux listserv local netadmin@ news nobody@ noone@ noreply ntivi oocies panda pgp postmaster@ bsd bugs@ cafee certific rating@ root@ samples sopho spam support support@ unix update webmaster@ winrar winzip certs@ 病毒邮件的主体可能为： Message body (chosen at random from the list below): Hi Did you get the previous document I attached for you? I resent it in this email just in case, because I really need you to check it out asap. Best Regards Hi I made a mistake and forgot to click attach on the previous email I sent you. Please give me your opinion on this opportunity when you get a chance. Best Regards Hi I was supposed to send you this document yesterday. Sorry for the delay, please forward this to your family if possible. It contains important info for both of you. Hi Sorry, I forgot to send an important document to you in that last email. I had an important phone call. Please checkout attached doc file when you have a moment. Best Regards 病毒附件有双扩展名， about.doc.exe admin.doc .exe archivator.doc　.exe archives.doc　.exe ataches.doc　.exe backup.doc　.exe docs.doc .exe documentation.doc　.exe save.doc　.exe sqlssl.doc　.exe help.doc　.exe inbox.doc　.exe manual.doc　.exe outbox.doc .exe payment.doc　.exe photos.doc .exe rar.doc　.exe readme.doc　.exe zip.doc　.exe 修改系统的 "%System%\\drivers\\etc\\hosts" ，在hosts文件中加入以下内容，阻止用户访问这些网站： 127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com …… 注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。清除方案 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 %System%\\sysinfo32.exe %System%\\trace32.exe %System%\\sqlssl.doc　.exe (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项 HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services\\ALEXORA 服务名：Windows Secure SS (4) 修改%System%\\drivers\\etc\\hosts文件，删除多余的地址。
随便看	劳赫哈默劳洪劳红武劳积勋劳绩劳技课劳继雄劳佳劳家顺劳驾劳剑峰劳建白劳建民劳教劳教所劳筋苦骨劳锦嫦劳劲涛劳静业劳剧劳均面积劳军劳军捐劳军妹劳君展