惡鷹II是蠕蟲病毒的最新變種,以發郵件為傳播方式,在被感染的系統內留後門,允許黑客遠程上傳並執行任意程式。
基本介紹
該病毒是年初爆發的“惡鷹”(Worm.Beagle.A)蠕蟲病毒的最新變種,命名為“惡鷹II”(Worm.Beagle.B)。此次變種病毒仍以發郵件為傳播方式,在被感染的系統內留後門,允許黑客遠程上傳並執行任意程式。此變種最大的不同在於,變種的病毒主程式在郵件附屬檔案中時,圖示偽裝成“命令提示符”,來欺騙用戶運行它。病毒在運行時會彈出“錄音機”系統程式來隱藏自己的運行,迷惑用戶,使自己能成功侵入系統,並再以感染的系統為源,開始傳送大量病毒郵件,衝擊網路、衝擊網路中的郵件伺服器。
=====================================================================================================
病毒信息:
病毒名稱: Worm.Beagle.B
中文名稱: 惡鷹II
威脅級別: 3A
發現日期: 2004.02.18
處理日期: 2004.02.18
病毒別名:“惡鷹”變種(Worm.BBeagle.b) [瑞星]
W32/Bagle.b@MM [McAfee]
W32/Bagle.B@mm [Norman]
WORM_BAGLE.B [Trend Mirco]
W32/Bagle.B.worm [Panda],
受影響系統: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
能處理的毒霸版本: 2004年02月18日
=====================================================================================================
技術特點:
· 發作條件:該病毒會檢查系統日期,如果系統日期為2004年2月25日後,則它將不運行;
· 系統修改:
1、自我複製到系統目錄 %system%\Au.exe
2、在註冊表主鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中添加如下鍵值:
"au.exe"="%System%\au.exe"
以便病毒可隨機啟動;
在註冊表主鍵:
HKEY_CURRENT_USER\SOFTWARE\Windows2000
中添加如下鍵值:
"frn" = "0x00000001" or "frn" = "0x00000000"以及"gid" = "<隨機值>"
該隨機值被攻擊者作為被感染機器的唯一標識;
3、發作現象:
A、如果它不是從%System%\Au.exe運行的,那么它還會啟動系統自帶的錄音機程式
Sndrec32.exe
B、在被感染機器以下後綴名的檔案中查找Email地址:
.wab
.txt
.htm
.html
C、改蠕蟲使用其自帶的SMTP引擎將其自己傳送到查找到的Email地址。它包含自己的MIME編
碼程式,並將會在記憶體中先生成郵件,然後傳送。
其傳送的郵件具有如下特徵:
發件人: <具有欺騙性的地址>
主題: ID <隨機字元>... thanks
正文:
Yours ID <隨機字元>
- -
Thank
附屬檔案: <隨機字元>.exe
該蠕蟲不會將郵件傳送給包含以下任何一個字元串的Email地址:
@hotmail.com
@msn.com
@microsoft
@avp.
D、該病毒會檢查系統日期,如果系統日期為2004年2月25日後,則它將不運行
4、該病毒的後門特性
A、在TCP連線埠8866上打開一個後門供攻擊者上傳檔案至被感染機器。所有上傳的檔案都被保
存在%System%目錄下,並被運行;
B、每隔10,000秒都會向以下網站的TCP 80連線埠傳送HTTP GET請求
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
該GET請求包含被感染機器的監聽連線埠,註冊表鍵值"gid"中紀錄的ID號,以及其IP位址。
=====================================================================================================
解決方案:
· 請使用金山毒霸2004年02月18日的病毒庫可完全處理該病毒;
· 請注意不要打開陌生人的郵件,由期對有帶有可執行程式的附屬檔案,要特別警惕;
· 手工解決方案:
對於系統是Windows9x,WindowsMe:
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為
C:\windows\system),分別輸入以下命令,以便刪除病毒程式:
C:\windows\system\>del Au.exe
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
步驟二,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run
在右邊的面板中, 找到並刪除如下項目:
"au.exe"="%System%\au.exe"
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER > SOFTWARE
找到子鍵Windows2000,並將其全部刪除
關閉註冊表編輯器。
對於系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務
管理器中,單擊“進程”標籤,在例表欄內找病毒進程“Au.exe”,單擊“結束進程按鈕”,
點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
windows\system32),找到檔案“Au.exe”,將它們刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
在右邊的面板中, 找到並刪除如下項目:
"au.exe"="%System%\au.exe"
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER > SOFTWARE
找到子鍵Windows2000,並將其全部刪除
關閉註冊表編輯器.