请输入您要查询的百科知识:

 

词条 "恶鹰II"-(Worm.Beagle.B)
释义

该病毒是年初爆发的“恶鹰”(Worm.Beagle.A)蠕虫病毒的最新变种,命名为“恶鹰II”(Worm.Beagle.B)。此次变种病毒仍以发邮件为传播方式,在被感染的系统内留后门,允许黑客远程上传并执行任意程序。此变种最大的不同在于,变种的病毒主程序在邮件附件中时,图标伪装成“命令提示符”,来欺骗用户运行它。病毒在运行时会弹出“录音机”系统程序来隐藏自己的运行,迷惑用户,使自己能成功侵入系统,并再以感染的系统为源,开始发送大量病毒邮件,冲击网络、冲击网络中的邮件服务器。

=====================================================================================================

病毒信息:

病毒名称: Worm.Beagle.B

中文名称: 恶鹰II

威胁级别: 3A

发现日期: 2004.02.18

处理日期: 2004.02.18

病毒别名:“恶鹰”变种(Worm.BBeagle.b) [瑞星]

W32/Bagle.b@MM [McAfee]

W32/Bagle.B@mm [Norman]

WORM_BAGLE.B [Trend Mirco]

W32/Bagle.B.worm [Panda],

病毒类型: 蠕虫、后门

受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

能处理的毒霸版本: 2004年02月18日

=====================================================================================================

技术特点:

· 发作条件:该病毒会检查系统日期,如果系统日期为2004年2月25日后,则它将不运行;

· 系统修改:

1、自我复制到系统目录 %system%\\Au.exe

2、在注册表主键:

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

中添加如下键值:

"au.exe"="%System%\\au.exe"

以便病毒可随机启动;

在注册表主键:

HKEY_CURRENT_USER\\SOFTWARE\\Windows2000

中添加如下键值:

"frn" = "0x00000001" or "frn" = "0x00000000"以及"gid" = "<随机值>"

该随机值被攻击者作为被感染机器的唯一标识;

3、发作现象:

A、如果它不是从%System%\\Au.exe运行的,那么它还会启动系统自带的录音机程序

Sndrec32.exe

B、在被感染机器以下后缀名的文件中查找Email地址:

.wab

.txt

.htm

.html

C、改蠕虫使用其自带的SMTP引擎将其自己发送到查找到的Email地址。它包含自己的MIME编

码程序,并将会在内存中先生成邮件,然后发送。

其发送的邮件具有如下特征:

发件人: <具有欺骗性的地址>

主题: ID <随机字符>... thanks

正文:

Yours ID <随机字符>

- -

Thank

附件: <随机字符>.exe

该蠕虫不会将邮件发送给包含以下任何一个字符串的Email地址:

@hotmail.com

@msn.com

@microsoft

@avp.

D、该病毒会检查系统日期,如果系统日期为2004年2月25日后,则它将不运行

4、该病毒的后门特性

A、在TCP端口8866上打开一个后门供攻击者上传文件至被感染机器。所有上传的文件都被保

存在%System%目录下,并被运行;

B、每隔10,000秒都会向以下网站的TCP 80端口发送HTTP GET请求

www.strato.de/1.php

www.strato.de/2.php

www.47df.de/wbboard/1.php

www.intern.games-ring.de/2.php

该GET请求包含被感染机器的监听端口,注册表键值"gid"中纪录的ID号,以及其IP地址。

=====================================================================================================

解决方案:

· 请使用金山毒霸2004年02月18日的病毒库可完全处理该病毒;

· 请注意不要打开陌生人的邮件,由期对有带有可执行程序的附件,要特别警惕;

· 手工解决方案:

对于系统是Windows9x,WindowsMe:

步骤一,删除病毒主程序

请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为

C:\\windows\\system),分别输入以下命令,以便删除病毒程序:

C:\\windows\\system\\>del Au.exe

完毕后,取出系统软盘,重新引导到Windows系统。

如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

步骤二,清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;

在左边的面板中, 双击(按箭头顺序查找,找到后双击):

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run

在右边的面板中, 找到并删除如下项目:

"au.exe"="%System%\\au.exe"

在左边的面板中, 双击(按箭头顺序查找,找到后双击):

HKEY_CURRENT_USER > SOFTWARE

找到子键Windows2000,并将其全部删除

关闭注册表编辑器。

对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever:

步骤一,使用进程序管里器结束病毒进程

右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务

管理器中,单击“进程”标签,在例表栏内找病毒进程“Au.exe”,单击“结束进程按钮”,

点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

步骤二,查找并删除病毒程序

通过“我的电脑”或“资源管理器”进入系统目录(Winnt\\system32或

windows\\system32),找到文件“Au.exe”,将它们删除;

步骤三,清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;

在左边的面板中, 双击(按箭头顺序查找,找到后双击):

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run

在右边的面板中, 找到并删除如下项目:

"au.exe"="%System%\\au.exe"

在左边的面板中, 双击(按箭头顺序查找,找到后双击):

HKEY_CURRENT_USER > SOFTWARE

找到子键Windows2000,并将其全部删除

关闭注册表编辑器.

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/1 19:23:40