“惡鷹”變種AL(Worm.Beagle.al)是一種蠕蟲、木馬類的病毒。
基本介紹
- 中文名:惡鷹變種AL(Worm.Beagle.al)
- 威脅級別:3C
- 發現日期:2004.08.10
- 處理日期:2004.08.10
- 病毒別名:I-Worm.Bagle.al AVP
- 病毒類型:蠕蟲、木馬
病毒信息一:
病毒名稱: Worm.Beagle.al
中文名稱: 惡鷹變種AL
威脅級別: 3C
發現日期: 2004.08.10
處理日期: 2004.08.10
病毒別名: I-Worm.Bagle.al [AVP]
W32/Bagle.aq@MM [McAfee]
WORM_BAGLE.AC [Trend]
Win32.Bagle.AG [Computer Associates]
病毒類型: 蠕蟲、木馬
受影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
破壞方式:
A、使用自帶的SMTP引擎大量傳送病毒郵件,浪費大量網路資源,並可導致中小型郵件伺服器極不穩定;
B、中止被感染系統中的大量安全軟體,使系統安全性下降;
C、安裝木馬,木馬下載病毒、留後門;
D、在每個資料夾中複製大量病毒複本,名字多為一些工具軟體的名字,如果這些檔案被共享出去,將使病毒具有利用區域網路傳播的能力。
發作現象: 利用QQ,通過網路傳播
發作現象:
A、查找以下進程
FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
如果存在以關閉這此進程
B、嘗試從以下網站下載病毒體並運行:
C、嘗試在以下擴展名檔案中搜尋郵件地址:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
D、如果郵件地址含有以下字元,則不會傳送:
@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
E、傳送病毒檔案
內容為:
New price
附屬檔案名為:
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price_08.zip
price_new.zip
price2.zip
F、開啟 TCP80 UDP80 作為後門
G、嘗試將自身複製到每個資料夾內,檔案名稱可能為以下之一:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
技術特點:
A、將自身複製到:
%System%\WINdirect.exe
B、生成以下檔案:
%System%\_dll.exe (11776Bytes)
在註冊表主鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加如下鍵值:
"win_upd2.exe"="%System%\WINdirect.exe"
C、從網上下載病毒
D、將自身複製到:
%SystemRoot%\WINDLL.EXE
%SystemRoot%\WINDLL.EXEOPEN
%SystemRoot%\WINDLL.EXEOPENOPEN
E、在註冊表主鍵
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加
"erthgdr" = "%System%\windll.exe"
F、創建如下互斥體阻止NetSky運行
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
G、嘗試在註冊表主鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除如下鍵值:
"9XHtProtect"
"Antivirus"
"EasyAV"
"FirewallSvr"
"HtProtect"
"ICQ Net"
"ICQNet"
"Jammer2nd"
"KasperskyAVEng"
"MsInfo"
"My AV"
"NetDy"
"Norton Antivirus AV"
"PandaAVEngine"
"SkynetsRevenge"
"Special Firewall Service"
"SysMonXP"
"Tiny AV"
"Zone Labs Client Ex"
"service"
H、創建以下註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
解決方案:
·請使用金山毒霸2004年8月10日的病毒庫可完全處理該病毒;
·企業級用戶請使用金山毒霸網路版來徹底防範該病毒的侵襲;
安全小貼士:
A、養成良好的安全習慣。只有不輕易打開即時通訊工具傳來的網址、不隨便打開來歷不明的郵件及附屬檔案、不到不安全的網站下載可執行程式、不要執行從 Internet 下載後未經防毒處理的軟體等,才能確保您系統的安全。
C、使用較為複雜的密碼保護。有許多網路病毒通過弱密碼攻擊用戶機器,也就是通過猜測用戶機器密碼的方式攻擊系統,因此使用複雜的密碼,將會大大提高計算機的安全係數。
