惡鷹變種U
病毒別名:貝革熱、雛鷹[江民]、WORM_BAGLE.U[趨勢]
基本介紹
- 中文名:惡鷹變種U
- 外文名: Worm.Beagle.u
- 威脅級別: 3A
- 毒霸版本: 2004.03.27
- 病毒類型: 蠕蟲、後門
名稱:
受影響系統: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
破壞方法:
A、通過電子郵件高速傳播;
C、技術特點:
1、系統修改
A、將病毒自身拷貝到 %System%\gigabit.exe,檔案圖示為一個時鐘。
B、在註冊表的主鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中添加如下鍵值:
"gigabit.exe"="%System%\gigabit.exe"
以便該病毒在每次重啟 Windows 時運行。
C、創建註冊表主鍵:
HKEY_CURRENT_USER\SOFTWARE\Windows2004
D、打開TCP連線埠,以便黑客連線,連線埠號為 4751
2、發作現象:
A、執行微軟的紅心大戰遊戲程式,檔案名稱為 Mshearts.exe。
B、嘗試連線指定的網站。
C、在本地磁碟掃描具有以下擴展名的檔案,以收集郵件地址。
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
D、給收集到的郵件地址發郵件,標題和主題均為空,附屬檔案為該蠕蟲程式,附屬檔案檔案名稱隨機。
E、該蠕蟲將不會往含以下欄位的郵件地址傳送郵件。
@avp
@microsoft
解決方案:
B、請不要輕易點擊陌生人的郵件以及下載和運行其所帶附屬檔案,在運行可疑附屬檔案前最好先用毒霸掃描;
C、手工解決方案:
對於系統是Win9x/WinMe
步驟一,刪除病毒主程式
C:\windows\>cd system
C:\windows\system\>del gigabit.exe 完畢後,取出系統軟碟,重新引導到Windows系統。 如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
步驟二,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右邊的面板中, 找到並刪除如下項目:
"gigabit.exe"="%System%\gigabit.exe"
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\SOFTWARE\Windows2004
刪除該子鍵
關閉註冊表編輯器.
對於系統是Windows NT, Windows 2000, Windows XP, Windows Sever 2003
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“gigabit.exe”,單擊“結束進程按鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右邊的面板中, 找到並刪除如下項目:
"gigabit.exe"="%System%\gigabit.exe"
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\SOFTWARE\Windows2004
刪除該子鍵
關閉註冊表編輯器.