Email-Worm.Win32.Bagz.f:簡介,病毒描述,清除方案,

該病毒屬郵件蠕蟲類，病毒主要通過傳送病毒郵件來傳播，病毒首次運行後會複製原病毒副本到%System%目錄下，並修改註冊表檔案，病毒還會修改hosts檔案，阻止用戶訪問某些反病毒及安全類網站，病毒通過搜尋感染主機的某些擴展名的檔案，來獲取其中的郵件地址，當搜尋到的郵件地址中包含某些字元時則不會傳送，病毒郵件中的郵件標題，主體信息從列表中隨即選擇，其中病毒附屬檔案為雙擴展名。該病毒對用戶有一定的危害。

基本介紹

中文名：Email-Worm.Win32.Bagz.f
病毒類型：：病毒郵件
公開範圍：：完全公開
檔案長度：： 29,117 位元組

簡介,病毒描述,清除方案,

簡介

病毒名稱： Email-Worm.Win32.Bagz.f

檔案 MD5： 94E7E121E1116DC600E4F671228FC0D3

危害等級：中

感染系統： windows 98 及以上版本

開發工具： Microsoft Visual C++ 5.0

加殼類型： UPX

命名對照： Symentec[W32.Bagz.F@mm]

Mcafee[W32/Bagz!dload]

病毒描述

行為分析：

1、病毒運行後會複製自身到：

%System%\sysinfo32.exe

%System%\trace32.exe

%System%\sqlssl.doc　.exe

2、修改註冊表檔案，創建服務：

HKEY_LOCAL_METHINE\System\CurrentControlSet\Services\ALEXORA

服務名：Windows Secure SS

3、病毒查找以下擴展名的檔案，獲取其中的郵件地址：

TBB

tbb

TBI

tbi

DBX

dbx

HTM

htm

TXT

txt

當搜尋到的郵件地址中包含以下字元，則不會傳送：

@avp

@foo

@iana

@messagelab

@microsoft

contact@

contract@

feste

free-av

f-secur

gold-

gold-certs@

google

help@

hostmaster@

icrosoft

info@

kasp

abuse

admin

administrator@

all@

anyone@

linux

listserv

local

netadmin@

news

nobody@

noone@

noreply

ntivi

oocies

panda

pgp

postmaster@

bsd

bugs@

cafee

certific

rating@

root@

samples

sopho

spam

support

support@

unix

update

webmaster@

winrar

winzip

certs@

病毒郵件的主體可能為：

Message body (chosen at random from the list below):

Did you get the previous document I attached for you?

I resent it in this email just in case, because I really need you to check it out asap.

Best Regards

I made a mistake and forgot to click attach on the previous email I sent you.

Please give me your opinion on this opportunity when you get a chance.

Best Regards

I was supposed to send you this document yesterday.

Sorry for the delay, please forward this to your family if possible.

It contains important info for both of you.

Sorry, I forgot to send an important document to you in that last email. I had an important phone call.

Please checkout attached doc file when you have a moment.

Best Regards

病毒附屬檔案有雙擴展名，

about.doc.exe

admin.doc 　.exe

archivator.doc　.exe

archives.doc　　.exe

ataches.doc　 .exe

backup.doc　 .exe

docs.doc 　.exe

documentation.doc　.exe

save.doc　.exe

sqlssl.doc　.exe

help.doc　.exe

inbox.doc　 .exe

manual.doc　 .exe

outbox.doc 　 .exe

payment.doc　 .exe

photos.doc 　.exe

rar.doc　 .exe

readme.doc　.exe

zip.doc　 .exe

修改系統的 "%System%\drivers\etc\hosts" ，在hosts檔案中加入以下內容，阻止用戶訪問這些網站：

127.0.0.1 ad.doubleclick。net

127.0.0.1 ad.fastclick。net

127.0.0.1 ads.fastclick。net

127.0.0.1 ar.atwola。com

127.0.0.1 atdmt。com

127.0.0.1 avp。ch

127.0.0.1 avp。com

……

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案

%System%\sysinfo32.exe

%System%\trace32.exe

%System%\sqlssl.doc　.exe

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_LOCAL_METHINE\System\CurrentControlSet\Services\ALEXORA

服務名：Windows Secure SS

(4) 修改%System%\drivers\etc\hosts檔案，刪除多餘的地址。

Email-Worm.Win32.Bagz.f

基本介紹

簡介

病毒描述

清除方案

相關詞條

熱門詞條