词条 | 恶鹰变种(Worm.Bagle.ao) |
释义 | 该病毒利用邮件疯狂传播,大量病毒邮件可能堵塞邮件服务器。该病毒发送的病毒邮件附件是一个木马病毒(Troj.Beagle.ao),该木马病毒感染系统后会注入系统进程,增大查杀难度。木马再下载邮件蠕虫(Worm.Beagle.ao),进行邮件、局域网传播等行为。 病毒信息病毒名称: Worm.Bagle.ao 中文名称: 恶鹰变种AO 威胁级别: 二级 病毒别名: I-Worm.Bagle.ao[AVP] 病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门 病毒类型: 蠕虫、木马 受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003 破坏方式A、使用自带的SMTP引擎大量发送病毒邮件,浪费大量网络资源,并可导致中小型邮件服务器极不 稳定; B、中止被感染系统中的大量安全软件,使系统安全性下降; C、安装木马,木马下载病毒; D、在被感染的机器上开后门端口TCP 80和UDP 80,该端口可被利用转发邮件; E、通过P2P软件及局域网进行传播。 发作现象A、结束以下安全相关进程: ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVPUPD.EXE AVWUPD32.EXE AVXQUAR.EXE CFIAUDIT.EXE DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE FIREWALL.EXE ICSSUPPNT.EXE ICSUPP95.EXE LUALL.EXE MCUPDATE.EXE NUPGRADE.EXE OUTPOST.EXE UPDATE.EXE B、从以下网站下载一个文件到%SystemRoot%\\_re_file.exe,并执行 allianzsp.sk coolweb.psg.sk cryofthespirit.com dollypop.com execpage.com helpdemos.com helpingyouth.org jamesbronner.com koti.pl miracle.v6.cz mountainwings.com mountainwings4.com naturalpros.com oracal.pl shock.evernet.com.pl SportLine.go.ro stroipolymer.ru theonlineword.com virtualchurch.com visionforsouls.org wingsoverlife.com www.1800thewoman.com www.1944.pl www.45partsdepot.com www.7pe.friko.pl www.air-computers.com.ar www.ametist.spb.ru www.apodis.pl www.arrasy.pl www.arthurspeaks.com www.astermed.pl www.atomique.pl www.atw.hu www.avatar.ee www.avers.com.pl www.baltexpo.spb.ru www.bomart.cz www.bravo.gliwice.pl www.bronnerbros.com www.buycare.com www.cumparacd.go.ro www.da-rom.co.il www.domu.net www.eastandard.co.ke www.elblu.republika.pl www.elcorsy.com www.elite-style.com www.enduser1.fast.net www.enitex.by www.enitex-m.by www.eris.pl www.europharm.pl www.extreme-racing.lg.ua www.fotel.pl www.fotolab.sk www.frater.hu www.gardameditech.com www.generex.de www.goldgates.com www.goodboy.dem.ru www.hards.pl www.healthcometh.com www.holz-studio.at www.ibplus.sk www.icpnet.pl www.icpnet.pl www.inlan.sk www.jamesbronner.com www.jbplus.cz www.justmatchit.com www.kubtelecom.ru www.kuda.com.ua www.lacittadifiorenzuola.it www.lotusdog.net www.ltvo.spb.ru www.master.pl www.members.aon.at www.moteplassen1.com www.mountainwings2.com www.multifoto.sk www.nadodrze.pl www.nairobiwebspace.com www.nameitright.com www.nardo.bbe.pl www.netland.gda.pl www.netta.pl www.nikola.piwko.pl www.ntrlab.com www.nustep.sk www.octava.pl www.odevnictvo.sk www.oftza.friko.pl www.oktbroiler.ru www.online40.com www.online50.com www.oto.lv www.pancoopzsv.co.yu www.pay5495.com www.pc-hard.com.ua www.perfect-beauty.at www.pharmag.pl www.polsl.katowice.pl www.prophetcollins.com www.propi.cz www.pursuit.rv.ua www.pyrlandia-boogie.pl www.quatro.sk www.r-bazar.ru www.roszkowski.pl www.silvic.ro www.sincron.go.ro www.skylive.pl www.smgkrc.pl www.soulring.com www.star-max.it www.sunbud.com.pl www.swez.net www.system5electronics.com www.tcvwebtv.com.ar www.thewoman.com www.tivis.cz www.ukpl.pl www.vacation-network.net www.wyspian.iap.pl www.zasada-rowery.pl C、尝试在以下扩展名文件中搜索邮件地址: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml。 D、病毒发送的邮件附件为fotos.zip。 技术特点A、在注册表主键"HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Ru1n"下添加如下键值:"erthgdr"=""%System%\\windll.exe" B、在"%SYSTEM%"目录下,添加如下文件:"windll.exe" C、在"%SYSTEM%"目录下,添加如下文件:"windll.exeopen" D、在"%SYSTEM%"目录下,添加如下文件:"windll.exeopenopen" E、创建以下互斥体来防止netsky及其变种的感染 MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 'D'r'o'p'p'e'd'S'k'y'N'e't' _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ F、在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Ru1n 与HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Ru1n 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex service G、复制自身到包含"shar"字符串的目录下,病毒文件名可能为以下之一: Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe H、在系统目录下创建文件 Doriot.exe Gdqfw.exe (该EXE其实为一个DLL文件) I、在注册表项HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 与HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下增加值 "wersds" = "%System%\\doriot.exe" J、把Gdqfw.exe注入到Explorer.exe进程中 K、停止以下服务,并把启动类型改为"禁止" Windows XP Service Pack 2为: Windows Firewall/Internet Connection Sharing (ICS) Windows XP Service Pack 1 及以前的为:Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) Windows 2000为:Internet Connection Sharing (ICS) 解决方案A、请使用金山毒霸2004年9月03日的病毒库可完全处理该病毒; B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭; C、开启金山毒霸病毒防火墙可防止病毒入侵。 安全小贴士: A、养成良好的安全习惯。只有不轻易打开即时通讯工具传来的网址、不随便打开来历不明的邮件 及附件、不到不安全的网站下载可执行程序、不要执行从 Internet 下载后未经杀毒处理的软 件等,才能确保您系统的安全。 B、经常升级系统补丁。好多网络病毒是通过系统漏洞进行传播的,已出现的重大病毒如:冲击波 、震荡波等,都是利用了系统漏洞,所以请您定期到微软网站下载最新的安全补丁,及时补住 您系统的漏洞。 C、使用较为复杂的密码保护。有许多网络病毒通过弱密码攻击用户机器,也就是通过猜测用户机 器密码的方式攻击系统,因此使用复杂的密码,将会大大提高计算机的安全系数。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。