Email-Worm.Win32.Bagle.fj:病毒特徵,行為分析,病毒運行後

病毒屬郵件蠕蟲類，為白鴿病毒家族最新變種，病毒運行後會複製自身到%System%\sysformat.exe，並釋放三個備份檔案，而後修改註冊表檔案，添加到啟動項，修改註冊表中安全配置，並新建子鍵來標緻該系統已被感染。創建互斥體，保證每次只有一個病毒副本運行。病毒還會修改“%System%\drivers\etc\hosts”檔案，阻止用戶訪問一些反病毒及安全網站。該病毒對用戶有一定危害。

基本介紹

外文名：Email-Worm.Win32.Bagle.fj
公開範圍：完全公開
危害等級：中
檔案長度： 18,906 位元組

病毒特徵,行為分析,病毒運行後複製自身到,創建互斥體，,修改註冊表檔案,盜用檔案,傳播病毒,利用p2p傳播,終止,修改檔案,清除方案,

病毒特徵

病毒名稱： Email-Worm.Win32.Bagle.fj

中文名稱： Bagle.fj變種

病毒類型：郵件蠕蟲

檔案 MD5： A3E27490DE9FCCD945FDA6D6E4698823

感染系統： Windows 98 及以上版本

開發工具： Microsoft Visual C++

加殼類型： yoda's Crypter

命名對照： Symentec[Trojan.Lodav.w]

Mcafee[W32/Bagle.gen]

行為分析

病毒運行後複製自身到

%System%\sysformat.exe

%System%\sysformat.exeopen

%System%\sysformat.exeopenopen

%System%\sysformat.exeopenopenopenopen

創建互斥體，

使得每次只有一個病毒副本運行：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

修改註冊表檔案

添加到啟動項：

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Run

鍵值：字串："sysformat" = "%System%\sysformat.exe"

新建鍵值，表示該系統已被感染：

HKEY_CURRENT_USER\Software\Microsoft\Params

鍵值：字串："FirstRun" = "01"

修改系統安全配置：

HKEY_LOCAL_METHINE\System\CurrentControlSet

\Services\SharedAccess

鍵值：字串："Start" = "4"

盜用檔案

病毒盜用Windows xp下.txt檔案的圖示，病毒第一次運行後會打開記事本。

傳播病毒

病毒主要通過傳送含有病毒附屬檔案的電子郵件傳播：

病毒通過查找以下擴展名的檔案來獲取其中的郵件地址：

.adb

.asp

.cfg

.cgi

.dbx

.dhtm

.eml

.htm

.jsp

.mbx

mdx

.mht

.mmf

.msg

.nch

.ods

.oft

.php

.pl

.sht

shtm

.stm

.tbb

.txt

.uin

.wab

.wsh

.xls

.xml

當郵件地址中包含以下字元串時，病毒則不會傳送郵件：

@avp.

@foo

@iana

@messagelab

@microsoft

abuse

admin

anyone@

bsd

bugs@

cafee

certific

contract@

feste

free-av

f-secur

gold-certs@

google

help@

icrosoft

info@

kasp

linux

listserv

local

news

nobody@

noone@

noreply

ntivi

panda

pgp

postmaster@

rating@

root@

samples

sopho

spam

support

unix

……

病毒郵件的主題可能為：

Delivery by mail

Delivery service mail

February price

Is delivered mail

price

Registration is accepted

You are made active

病毒郵件的附屬檔案名可能為：

21_price.zip

February_price.zip

guupd02.zip

Jol03.zip

new_price.zip

price.zip

pricelist.zip

pricelst.zip

siupd02.zip

upd02.zip

viupd02.zip

wsd01.zip

zupd02.zip

利用p2p傳播

該病毒也可以利用P2P軟體來傳播，通過搜尋並複製原病毒副本到含有“shar”字元串的資料夾中，其中病毒名可能為：

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Matrix 3 Revolution English Subtitles.exe

Opera 8 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

XXX hardcore images.exe

1.exe

10.exe

2.exe

3.exe

4.exe

……

終止

遍歷當前進程，當查找到以下進程名時，便將其終止：

alogserv.exe

APVXDWIN.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

Avconsol.exe

AVENGINE.EXE

AVPUPD.EXE

Avsynmgr.exe

AVWUPD32.EXE

AVXQUAR.EXE

bawindo.exe

blackd.exe

ccApp.exe

ccEvtMgr.exe

ccProxy.exe

ccPxySvc.exe

CFIAUDIT.EXE

DefWatch.exe

DRWEBUPW.EXE

ESCANH95.EXE

ESCANHNT.EXE

FIREWALL.EXE

修改檔案

病毒還會修改“%System%\drivers\etc\hosts”檔案，在hosts檔案中添加如下內容：

127.0.0.1 localhost

127.0.0.1 ad.doubleclick.net

127.0.0.1 ad.fastclick.net

127.0.0.1 ads.fastclick.net

127.0.0.1 ar.atwola.com

127.0.0.1 atdmt.com

127.0.0.1 avp.ch

127.0.0.1 avp.com

127.0.0.1 avp.ru

127.0.0.1 awaps.net

127.0.0.1 ftp.f-secure.com

127.0.0.1 ftp.sophos.com

127.0.0.1 go.microsoft.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 media.fastclick.net

127.0.0.1 msdn.microsoft.com

……

127.0.0.1 banner.fastclick.net

127.0.0.1 banners.fastclick.net

127.0.0.1 ca.com

127.0.0.1 click.atdmt.com

127.0.0.1 clicks.atdmt.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 engine.awaps.net

127.0.0.1 fastclick.net

127.0.0.1 f-secure.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 office.microsoft.com

127.0.0.1 phx.corporate-ir.net

127.0.0.1 secure.nai.com

127.0.0.1 service1.symantec.com

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒釋放的這幾個檔案：