基本介紹
- 外文名:W32.Beagle.AG@mm
- 類型: Worm
- 感染長度: varies
- 發現: 2004 年 7 月 19 日
病毒信息,防護,威脅評估,廣度,損壞,分發,建議,手動防毒,
病毒信息
更新: 2007 年 2 月 13 日 12:27:13 PM
別名: WORM_BAGLE.AH [Trend Micro], W32/Bagleai@MM [McAfee], W32/Bagle-AI [Sophos], Win32.BagleAI [Computer Assoc, I-Worm.Bagleai [Kaspersky]
該蠕蟲使用 PeX 打包
防護
* 病毒定義(每周 LiveUpdate™) 2004 年 7 月 19 日
* 病毒定義(智慧型更新程式) 2004 年 7 月 19 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Low
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Sends email to the addresses collected from an infected computer.
* 降低性能: Mass-mailing may clog mail servers or degrade network performance.
* 危及安全設定: Terminates processes associated with various security-related programs. Allows unauthorized remote access to a compromised host.
分發
* 分發級別: High
* 電子郵件的主題: Varies
* 附屬檔案名稱: Varies with a .com, .cpl, .exe, .scr, or .zip file extension.
* 附屬檔案大小: Varies
W32.BeagleAG@mm 運行時會執行下列操作:
1. 從鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除包含以下字元串的值:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
2. 創建下列檔案:
%System%\winxp.exe
%System%\winxp.exeopen
%System%\winxp.exeopenopen
%System%\winxp.exeopenopenopen
%System%\winxp.exeopenopenopenopen
注意:%System% 是一個變數。 蠕蟲會找到 System 資料夾,並將自身複製到其中。 默認情況下,此資料夾為 C:\Windows\System
(Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
3. 放入檔案 %System%\winxp.exeopenopen。該檔案是 .zip 或 .cpl 檔案:
* 如果檔案是 .zip 檔案,它將包含兩個隨機命名的檔案。 一個是 .exe 檔案,另一個是擴展名為 .sys、.dat、.idx、.vxd、.vid 或 .dll 的文本檔案。
* 如果檔案是 .cpl 檔案且被執行,則它會將一個名為 cplstub.exe 的檔案放入 %Windir% 資料夾。
Note: %Windir% 是一個變數。 蠕蟲會找到 Windows installation 資料夾,並將自身複製到其中。 默認情況下,此資料夾為 (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
4. 將值:
"key" = "%System%\winxp.exe"
添加到註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru
這樣,該蠕蟲的放置程式便可在 Windows啟動時運行。
5. 打開 TCP 連線埠 1080 上的後門,以使受感染計算機作為電子郵件中繼使用。
6. 聯繫各域的 .php 腳本,有關獲各域名,請參考下方域中的各域名。
7. 結束與軟體相關的進程。有關獲各進程名,請參考下方進程中的各進程名
8. 試圖在所有包含“shar”字元的資料夾下創建其自身的副本。 檔案將有以下檔案名稱稱:
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Kaspersky Antivirus 5.0
* KAV 5.0
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe
9. 在具有以下擴展名的檔案中搜尋電子郵件地址:
* .adb
* .asp
* .cfg
* .cgi
* .dbx
* .dhtm
* .eml
* .htm
* .jsp
* .mbx
* .mdx
* .mht
* .mmf
* .msg
* .nch
* .ods
* .oft
* .php
* .pl
* .sht
* .shtm
* .stm
* .tbb
* .txt
* .uin
* .wab
* .wsh
* .xls
* .xml
10. 使用自己的 SMTP 引擎向找到的電子郵件地址傳送電子郵件。 所傳送的電子郵件具有下列特徵:
發件人:<欺騙性>
主題: Re_
正文:
* foto3 and MP3
* fotogalary and Music
* fotoinfo
* Lovely animals
* Animals
* Predators
* The snake
* Screen and Music
附屬檔案:(下列之一)
* Cat
* Cool_MP3
* Dog
* Doll
* Fish
* Garry
* MP3
* Music_MP3
* New_MP3_Player
附屬檔案擴展名:(下列之一)
* .exe
* .scr
* .com
* .cpl
* .zip
域
進程
W32.BeagleAG@mm 試圖終止具有以下名稱的進程:
* AGENTSVR.EXE
* ANTI-TROJAN.EXE
* ANTI-TROJAN.EXE
* ANTIVIRUS.EXE
* ANTS.EXE
* APIMONITOR.EXE
* APLICA32.EXE
* APVXDWIN.EXE
* ATCON.EXE
* ATGUARD.EXE
* ATRO55EN.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVCONSOL.EXE
* AVGSERV9.EXE
* AVLTMAIN.EXE
* AVprotect9x.exe
* AVPUPD.EXE
* AVSYNMGR.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* BD_PROFESSIONAL.EXE
* BIDEF.EXE
* BIDSERVER.EXE
* BIPCP.EXE
* BIPCPEVALSETUP.EXE
* BISP.EXE
* BLACKD.EXE
* BLACKICE.EXE
* BOOTWARN.EXE
* BORG2.EXE
* BS120.EXE
* CDP.EXE
* CFGWIZ.EXE
* CFGWIZ.EXE
* CFIADMIN.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFIAUDIT.EXE
* CFIAUDIT.EXE
* CFINET.EXE
* CFINET.EXE
* CFINET32.EXE
* CFINET32.EXE
* CLEAN.EXE
* CLEAN.EXE
* CLEANER.EXE
* CLEANER.EXE
* CLEANER3.EXE
* CLEANPC.EXE
* CLEANPC.EXE
* CMGRDIAN.EXE
* CMGRDIAN.EXE
* CMON016.EXE
* CMON016.EXE
* CPD.EXE
* CPF9X206.EXE
* CPFNT206.EXE
* CV.EXE
* CWNB181.EXE
* CWNTDWMO.EXE
* DEFWATCH.EXE
* DEPUTY.EXE
* DPF.EXE
* DPFSETUP.EXE
* DRWATSON.EXE
* DRWEBUPW.EXE
* ENT.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ESCANV95.EXE
* EXANTIVIRUS-CNET.EXE
* FAST.EXE
* FIREWALL.EXE
* FLOWPROTECTOR.EXE
* FP-WIN_TRIAL.EXE
* FRW.EXE
* FSAV.EXE
* FSAV530STBYB.EXE
* FSAV530WTBYB.EXE
* FSAV95.EXE
* GBMENU.EXE
* GBPOLL.EXE
* GUARD.EXE
* GUARDDOG.EXE
* HACKTRACERSETUP.EXE
* HTLOG.EXE
* HWPE.EXE
* IAMAPP.EXE
* IAMAPP.EXE
* IAMSERV.EXE
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IFW2000.EXE
* IPARMOR.EXE
* IRIS.EXE
* JAMMER.EXE
* KAVLITE40ENG.EXE
* KAVPERS40ENG.EXE
* KERIO-PF-213-EN-WIN.EXE
* KERIO-WRL-421-EN-WIN.EXE
* KERIO-WRP-421-EN-WIN.EXE
* KILLPROCESSSETUP161.EXE
* LDPRO.EXE
* LOCALNET.EXE
* LOCKDOWN.EXE
* LOCKDOWN2000.EXE
* LSETUP.EXE
* LUALL.EXE
* LUCOMSERVER.EXE
* LUINIT.EXE
* MCAGENT.EXE
* MCUPDATE.EXE
* MCUPDATE.EXE
* MFW2EN.EXE
* MFWENG3.02D30.EXE
* MGUI.EXE
* MINILOG.EXE
* MOOLIVE.EXE
* MRFLUX.EXE
* MSCONFIG.EXE
* MSINFO32.EXE
* MSSMMC32.EXE
* MU0311AD.EXE
* NAV80TRY.EXE
* NAVAPW32.EXE
* NAVDX.EXE
* NAVSTUB.EXE
* NAVW32.EXE
* NC2000.EXE
* NCINST4.EXE
* NDD32.EXE
* NEOMONITOR.EXE
* NETARMOR.EXE
* NETINFO.EXE
* NETMON.EXE
* NETSCANPRO.EXE
* NETSPYHUNTER-1.2.EXE
* NETSTAT.EXE
* NISSERV.EXE
* NISUM.EXE
* NMAIN.EXE
* NORTON_INTERNET_SECU_3.0_407.EXE
* NPF40_TW_98_NT_ME_2K.EXE
* NPFMESSENGER.EXE
* NPROTECT.EXE
* NSCHED32.EXE
* NTVDM.EXE
* NUPGRADE.EXE
* NVARCH16.EXE
* NWINST4.EXE
* NWTOOL16.EXE
* OSTRONET.EXE
* OUTPOST.EXE
* OUTPOSTINSTALL.EXE
* OUTPOSTPROINSTALL.EXE
* PADMIN.EXE
* PANIXK.EXE
* PAVPROXY.EXE
* PCC2002S902.EXE
* PCC2K_76_1436.EXE
* PCCIOMON.EXE
* PCDSETUP.EXE
* PCFWALLICON.EXE
* PCFWALLICON.EXE
* PCIP10117_0.EXE
* PDSETUP.EXE
* PERISCOPE.EXE
* PERSFW.EXE
* PF2.EXE
* PFWADMIN.EXE
* PINGSCAN.EXE
* PLATIN.EXE
* POPROXY.EXE
* POPSCAN.EXE
* PORTDETECTIVE.EXE
* PPINUPDT.EXE
* PPTBC.EXE
* PPVSTOP.EXE
* PROCEXPLORERV1.0.EXE
* PROPORT.EXE
* PROTECTX.EXE
* PSPF.EXE
* PURGE.EXE
* PVIEW95.EXE
* QCONSOLE.EXE
* QSERVER.EXE
* RAV8WIN32ENG.EXE
* REGEDIT.EXE
* REGEDT32.EXE
* RESCUE.EXE
* RESCUE32.EXE
* RRGUARD.EXE
* RSHELL.EXE
* RTVSCN95.EXE
* RULAUNCH.EXE
* SAFEWEB.EXE
* SBSERV.EXE
* SD.EXE
* SETUP_FLOWPROTECTOR_US.EXE
* SETUPVAMEEVAL.EXE
* SFC.EXE
* SGSSFW32.EXE
* SH.EXE
* SHELLSPYINSTALL.EXE
* SHN.EXE
* SMC.EXE
* SOFI.EXE
* SPF.EXE
* SPHINX.EXE
* SPYXX.EXE
* SS3EDIT.EXE
* ST2.EXE
* SUPFTRL.EXE
* SUPPORTER5.EXE
* SYMPROXYSVC.EXE
* SYSEDIT.EXE
* TASKMON.EXE
* TAUMON.EXE
* TAUSCAN.EXE
* TC.EXE
* TCA.EXE
* TCM.EXE
* TDS2-98.EXE
* TDS2-NT.EXE
* TDS-3.EXE
* TFAK5.EXE
* TGBOB.EXE
* TITANIN.EXE
* TITANINXP.EXE
* TRACERT.EXE
* TRJSCAN.EXE
* TRJSETUP.EXE
* TROJANTRAP3.EXE
* UNDOBOOT.EXE
* UPDATE.EXE
* VBCMSERV.EXE
* VBCONS.EXE
* VBUST.EXE
* VBWIN9X.EXE
* VBWINNTW.EXE
* VCSETUP.EXE
* VFSETUP.EXE
* VIRUSMDPERSONALFIREWALL.EXE
* VNLAN300.EXE
* VNPC3000.EXE
* VPC42.EXE
* VPFW30S.EXE
* VPTRAY.EXE
* VSCENU6.02D30.EXE
* VSECOMR.EXE
* VSHWIN32.EXE
* VSISETUP.EXE
* VSMAIN.EXE
* VSMON.EXE
* VSSTAT.EXE
* VSWIN9XE.EXE
* VSWINNTSE.EXE
* VSWINPERSE.EXE
* W32DSM89.EXE
* W9X.EXE
* WATCHDOG.EXE
* WEBSCANX.EXE
* WGFE95.EXE
* WHOSWATCHINGME.EXE
* WHOSWATCHINGME.EXE
* WINRECON.EXE
* WNT.EXE
* WRADMIN.EXE
* WRCTRL.EXE
* WSBGATE.EXE
* WYVERNWORKSFIREWALL.EXE
* XPF202EN.EXE
* ZAPRO.EXE
* ZAPSETUP3001.EXE
* ZATUTOR.EXE
* ZAUINST.EXE
* ZONALM2601.EXE
* ZONEALARM.EXE
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
使用防毒工具防毒
當然,您也可以按照以下指示自己手動防毒。
手動防毒
以下指導適用於最新和最近的所有 Symantec 防病毒產品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品)
1. 禁用系統還原 (Windows Me/XP)。
2. 更新病毒定義。
3. 以安全模式或 VGA 模式重新啟動計算機。
4. 運行完整的系統掃描,並刪除所有檢測為 W32.Beagle.AB@mm 的檔案。
5. 刪除添加到註冊表的值。
有關每個步驟的詳細信息,請參閱以下指導。
1. 禁用系統還原 (Windows Me/XP)
如果正在運行 Windows Me 或 Windows XP,建議您暫時關閉系統還原功能。 此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows Me/XP 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。 因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。 這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描也可能在 System Restore 資料夾中檢測到威脅,即使您已清除該威脅。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
* "如何禁用或啟用 Windows Me 系統還原
* "如何關閉或打開 Windows XP 系統還原”
注意:當您完全完成防毒步驟,並確定威脅已清除後,按照上述文檔中的指導重新啟用系統還原。
有關其他信息以及禁用 Windows Me 系統還原功能的其他方法,請參閱 Microsoft 知識庫文章:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder,
2. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義:
* 運行 LiveUpdate,這是獲得病毒定義最簡單的方法:如果未遇重大病毒爆發情況,這些病毒定義會每周在 LiveUpdate 伺服器上發布一次(一般為星期三)。 要確定是否可通過 LiveUpdate 獲得用於該威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載定義:“智慧型更新程式”病毒定義在美國工作日發布(周一至周五)。 您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。 要確定是否可通過智慧型更新程式獲得用於該威脅的定義,請參考病毒定義(智慧型更新程式)。
獲得智慧型更新程式病毒定義。有關詳細指導,請閱讀文檔:如何使用智慧型更新程式更新病毒定義檔案。
3. 以安全模式或 VGA 模式重新啟動計算機
關閉計算機,關掉電源。 至少等候 30 秒,然後以安全模式或 VGA 模式重新啟動計算機。
* 對於 Windows 95、98、Me、2000 或 XP 用戶,請以安全模式重新啟動計算機。 有關指導,請參閱文檔:如何以安全模式啟動計算機。
* 對於 Windows NT 4 用戶,請以 VGA 模式重新啟動計算機。
4. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
* 對於 Norton AntiVirus 單機版產品:請參閱文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
* 對於 Symantec AntiVirus 企業版產品:請參閱文檔:如何確定 Symantec 企業版防病毒產品是否設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果有任何檔案被檢測為 W32.Beagle.AB@mm,則單擊“刪除”。
4. 導航到%System%資料夾並刪除sysxp.exeopenopenopen。
注意:如果您的 Symantec 防病毒產品報告無法刪除受感染檔案,Windows 可能在使用該檔案。 要解決該問題,請在安全模式下運行掃描。 有關指導,請參閱文檔:如何以安全模式啟動計算機。以安全模式重啟後,在此運行掃描。
(在檔案被刪除後,可以不離開安全模式並繼續執行部分4。完成後,在將以正常模式重新啟動計算機。)
5. 從註冊表刪除值
警告:Symantec 強烈建議在進行任何更改前先備份註冊表。 錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。 應只修改指定的鍵。 有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”>“運行”。
2. 鍵入 regedit
然後單擊“確定”。
3. 導航至鍵:
4. 在右窗格中,刪除值:
"key" = "%System%\winxp.exe"
5. 退出註冊表編輯器。