W32.Beagle.AV@mm

技術，焊接工藝技術，熱處理工藝技術

發現： 2004 年 10 月 29 日

更新： 2007 年 2 月 13 日 12:30:14 PM

別名： Win32.Bagle.AQ [Computer Assoc, W32/Bagle.BC.worm [Panda], WORM_BAGLE.AT [Trend Micro], Bagle.AT [F-Secure], W32/Bagle.bb@mm [McAfee], W32/Bagle-AU [Sophos], I-Worm.Bagle.at [Kaspersky], W32/Bagle.AQ@mm [Norman]

類型: Worm

感染長度： Varies

* 病毒定義（每周 LiveUpdate™） 2004 年 10 月 29 日

* 病毒定義（智慧型更新程式） 2004 年 10 月 29 日

威脅評估

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： Medium

* 威脅抑制： Easy

* 清除： Moderate

* 損壞級別： Medium

* 大規模傳送電子郵件： Sends email to addresses harvested from the infected system.

* 危及安全設定： Ends security related processes and services.

* 分發級別： High

* 電子郵件的主題： Varies

* 附屬檔案名稱： Varies with a .com, .cpl, .exe, or, . scr file extension.

* 連線埠： TCP port 81.

當 W32.Beagle.AO@mm 執行時,它會執行下列動作:

* %System%\wingo.exe

* %System%\wingo.exeopen

* %System%\wingo.exeopenopen

將自己複製至 :

* %System%\wingo.exeopenopenopen

* %System%\wingo.exeopenopenopenopen

"wingo" = "%System%\wingo.exe"

至註冊表鍵:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

在啟動 Windows 時蠕蟲會被執行

"Timekey" = "[Random variables]"

至註冊表鍵:

HKEY_CURRENT_USER\Software\Microsoft\Params

* mcagent.exe

* mcvsshld.exe

* mcshield.exe

* mcvsescn.exe

* mcvsrte.exe

* DefWatch.exe

* Rtvscan.exe

* ccEvtMgr.exe

* NISUM.EXE

* ccPxySvc.exe

* navapsvc.exe

* NPROTECT.EXE

* nopdb.exe

* ccApp.exe

* Avsynmgr.exe

* VsStat.exe

* Vshwin32.exe

* alogserv.exe

* RuLaunch.exe

* Avconsol.exe

* PavFires.exe

* FIREWALL.EXE

* ATUPDATER.EXE

* LUALL.EXE

* DRWEBUPW.EXE

* AUTODOWN.EXE

* NUPGRADE.EXE

* OUTPOST.EXE

* ICSSUPPNT.EXE

* ICSUPP95.EXE

* ESCANH95.EXE

* AVXQUAR.EXE

* ESCANHNT.EXE

* ATUPDATER.EXE

* AUPDATE.EXE

* AUTOTRACE.EXE

* AUTOUPDATE.EXE

* AVXQUAR.EXE

* AVWUPD32.EXE

* AVPUPD.EXE

* CFIAUDIT.EXE

* UPDATE.EXE

* NUPGRADE.EXE

* MCUPDATE.EXE

* pavsrv50.exe

* AVENGINE.EXE

* APVXDWIN.EXE

* pavProxy.exe

* navapw32.exe

* navapsvc.exe

* ccProxy.exe

* navapsvc.exe

* NPROTECT.EXE

* SAVScan.exe

* SNDSrvc.exe

* symlcsvc.exe

* LUCOMS~1.EXE

* blackd.exe

* bawindo.exe

* FrameworkService.exe

* VsTskMgr.exe

* SHSTAT.EXE

* UpdaterUI.exe

試圖由下列網站下載檔案至 %System%\re_file.exe, 並執行檔案

* www.bottombouncer.com

* www.anthonyflanagan.com

* www.bradster.com

* www.traverse.com

* www.ims-i.com

* www.realgps.com

* www.aviation-center.de

* www.gci-bln.de

* www.pankration.com

* www.jansenboiler.com

* www.corpsite.com

* www.everett.wednet.edu

* www.onepositiveplace.org

* www.raecoinc.com

* www.wwwebad.com

* www.corpsite.com

* www.wwwebmaster.com

* www.dragcar.com

* www.oohlala-kirkland.com

* www.calderwoodinn.com

* www.buddyboymusic.com

* www.smacgreetings.com

* www.tkd2xcell.com

* www.curtmarsh.com

* www.dontbeaweekendparent.com

* www.soloconsulting.com

* www.lasermach.com

* www.generationnow.net

* www.flashcorp.com

* www.kencorbett.com

* www.FritoPie.NET

* www.leonhendrix.com

* www.transportation.gov.bh

* www.jhaforpresident.7p.com

* www.DarrkSydebaby.com

* www.cntv.info

* www.sugardas.lt

* www.adhdtests.com

* www.argontech.net

* www.customloyal.com

* www.ohiolimo.com

* www.topko.sk

* www.alupass.lu

* www.sigi.lu

* www.redlightpictures.com

* www.irinaswelt.de

* www.bueroservice-it.de

* www.kranenberg.de

* www.the-fabulous-lions.de

* www.mongolische-renner.de

* www.capri-frames.de

* www.aimcenter.net

* www.boneheadmusic.com

* www.fludir.is

* www.sljinc.com

* www.tivogoddess.com

* www.fcpages.com

* www.andara.com

* www.freeservers.com

* www.programmierung2000.de

* www.asianfestival.nl

* www.aviation-center.de

* www.gci-bln.de

* www.mass-i.kiev.ua

* www.jasnet.pl

* www.atlantisteste.hpg.com.br

* www.fludir.is

* www.rieraquadros.com.br

* www.metal.pl

* www.handsforhealth.com

* www.angelartsanctuary.com

* www.firstnightoceancounty.org

* www.chinasenfa.com

* www.ulpiano.org

* www.gamp.pl

* www.vikingpc.pl

* www.woundedshepherds.com

* www.cpc.adv.br

* www.velocityprint.com

* www.esperanzaparalafamilia.com

* www.celula.com.mx

* www.mexis.com

* www.wecompete.com

* www.vbw.info

* www.gfn.org

* www.aegee.org

* www.deadrobot.com

* www.cscliberec.cz

* www.ecofotos.com.br

* www.amanit.ru

* www.bga-gsm.ru

* www.innnewport.com

* www.knicks.nl

* www.srg-neuburg.de

* www.mepmh.de

* www.mepbisu.de

* www.kradtraining.de

* www.polizeimotorrad.de

* www.sea.bz.it

* www.uslungiarue.it

* www.gcnet.ru

* www.aimcenter.net

* www.vandermost.de

* www.szantomierz.art.pl

* www.immonaut.sk

* www.eurostavba.sk

* www.spadochron.pl

* www.pyrlandia-boogie.pl

* www.kps4parents.com

* www.pipni.cz

* www.selu.edu

* www.travelchronic.de

* www.fleigutaetscher.ch

* www.irakli.org

* www.oboe-online.com

* www.pe-sh.com

* www.idb-group.net

* www.ceskyhosting.cz

* www.hartacorporation.com

* www.glass.la

* www.24-7-transportation.com

* www.fepese.ufsc.br

* www.ellarouge.com.au

* www.bbsh.org

* www.boneheadmusic.com

* www.sljinc.com

* www.tivogoddess.com

* www.fcpages.com

* www.szantomierz.art.pl

* www.elenalazar.com

* www.ssmifc.ca

* www.reliance-yachts.com

* www.worest.com.ar

* www.kps4parents.com

* www.coolfreepages.com

* www.scanex-medical.fi

* www.jimvann.com

* www.orari.net

* www.himpsi.org

* www.mtfdesign.com

* www.jldr.ca

* www.relocationflorida.com

* www.rentalstation.com

* www.approved1stmortgage.com

* www.velezcourtesymanagement.com

* www.sunassetholdings.com

* www.compsolutionstore.com

* www.uhcc.com

* www.justrepublicans.com

* www.pfadfinder-leobersdorf.com

* www.featech.com

* www.vinirforge.com

* www.magicbottle.com.tw

* www.giantrevenue.com

* www.couponcapital.net

* www.crystalrose.ca

試圖在任何包含字元「shar」的數據夾中建立本身的副本。檔案將會有下列檔案名稱稱:

* Microsoft Office 2003 Crack, Working!.exe

* Microsoft Windows XP, WinXP Crack, working Keygen.exe

* Microsoft Office XP working Crack, Keygen.exe

* Porno, sex, oral, anal cool, awesome!!.exe

* Porno Screensaver.scr

* Serials.txt.exe

* KAV 5.0

* Kaspersky Antivirus 5.0

* Porno pics arhive, xxx.exe

* Windows Sourcecode update.doc.exe

* Ahead Nero 7.exe

* Windown Longhorn Beta Leak.exe

* Opera 8 New!.exe

* XXX hardcore images.exe

* WinAmp 6 New!.exe

* WinAmp 5 Pro Keygen Crack Update.exe

* Adobe Photoshop 9 full.exe

* Matrix 3 Revolution English Subtitles.exe

* ACDSee 9.exe

* "SharedAccess" - Internet Connection Sharing

* "wscsvc" - MS 安全中心

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

刪除所有包含下列字元的值:

* My AV

* Zone Labs Client Ex

* 9XHtProtect

* Antivirus

* Special Firewall Service

* service

* Tiny AV

* ICQNet

* HtProtect

* NetDy

* Jammer2nd

* FirewallSvr

* MsInfo

* SysMonXP

* EasyAV

* PandaAVEngine

* Norton Antivirus AV

* KasperskyAVEng

* SkynetsRevenge

* ICQ Net

在有下列擴展名的電子郵件中搜尋電子郵件地址

* .wab

* .txt

* .msg

* .htm

* .shtm

* .stm

* .xml

* .dbx

* .mbx

* .mdx

* .eml

* .nch

* .mmf

* .ods

* .cfg

* .asp

* .php

* .pl

* .wsh

* .adb

* .tbb

* .sht

* .xls

* .oft

* .uin

* .cgi

* .mht

* .dhtm

* .jsp

使用自身的 SMTP 引擎傳送電子郵件到任何找到的地址

受感染的電子郵件可能具有下列特徵:

寄件者:<已偽裝>

主旨: (以下其中之一)

o Re:

o Re: Hello

o Re: Hi

o Re: Thank you!

o Re: Thanks :)

內文::

:))

附屬檔案: (以下其中之一)

o Price

o price

o Joke

並有下列擴展名: .com, .cpl, .exe, or, . scr

注意: 若擴展名為 .cpl extension, 則為 W32.Beagle@mm!cpl.

並蟲將不會將本身寄至包含下列字元的電子郵件地址:

o @hotmail

o @msn

o @microsoft

o rating@

o f-secur

o news

o update

o anyone@

o bugs@

o contract@

o feste

o gold-certs@

o help@

o info@

o nobody@

o noone@

o kasp

o admin

o icrosoft

o support

o ntivi

o unix

o bsd

o linux

o listserv

o certific

o sopho

o @foo

o @iana

o free-av

o @messagelab

o winzip

o google

o winrar

o samples

o abuse

o panda

o cafee

o spam

o pgp

o @avp.

o noreply

o local

o root@

o postmaster@

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

以下指導適用於最新和最近的所有 Symantec 防病毒產品（包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品）。

1. 禁用系統還原 (Windows Me/XP)。

2. 更新病毒定義。

3. 以安全模式或 VGA 模式重新啟動計算機。

4. 運行完整的系統掃描，並刪除所有檢測為 W32.Beagle.AB@mm 的檔案。

5. 刪除添加到註冊表的值。

6. 手動刪除下列檔案：

o %system%\sysxp.exeopenopenopen

o %system%\sysxp.exeopenopenopen

有關每個步驟的詳細信息，請參閱以下指導。

1. 禁用系統還原 (Windows Me/XP)

如果正在運行 Windows Me 或 Windows XP，建議您暫時關閉系統還原功能。 此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows Me/XP 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。 因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。 這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描也可能在 System Restore 資料夾中檢測到威脅，即使您已清除該威脅。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

* "如何禁用或啟用 Windows Me 系統還原

* "如何關閉或打開 Windows XP 系統還原”

注意：當您完全完成防毒步驟，並確定威脅已清除後，按照上述文檔中的指導重新啟用系統還原。

有關其他信息以及禁用 Windows Me 系統還原功能的其他方法，請參閱 Microsoft 知識庫文章：Antivirus Tools Cannot Clean Infected Files in the _Restore Folder，文章 ID：Q263455。

2. 更新病毒定義

Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate，這是獲得病毒定義最簡單的方法：如果未遇重大病毒爆發情況，這些病毒定義會每周在 LiveUpdate 伺服器上發布一次（一般為星期三）。 要確定是否可通過 LiveUpdate 獲得用於該威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載定義：“智慧型更新程式”病毒定義在美國工作日發布（周一至周五）。 您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。 要確定是否可通過智慧型更新程式獲得用於該威脅的定義，請參考病毒定義（智慧型更新程式）。

可以從 http://securityresponse.symantec.com/avcenter/defs.download.html 獲得智慧型更新程式病毒定義。有關詳細指導，請閱讀文檔：如何使用智慧型更新程式更新病毒定義檔案。

3. 以安全模式或 VGA 模式重新啟動計算機

關閉計算機，關掉電源。 至少等候 30 秒，然後以安全模式或 VGA 模式重新啟動計算機。

* 對於 Windows 95、98、Me、2000 或 XP 用戶，請以安全模式重新啟動計算機。 有關指導，請參閱文檔：如何以安全模式啟動計算機。

* 對於 Windows NT 4 用戶，請以 VGA 模式重新啟動計算機。

4. 掃描和刪除受感染檔案

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* 對於 Norton AntiVirus 單機版產品：請參閱文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 對於 Symantec AntiVirus 企業版產品：請參閱文檔：如何確定 Symantec 企業版防病毒產品是否設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果有任何檔案被檢測為 W32.Beagle.AB@mm，則單擊“刪除”。

4. 導航到%System%資料夾並刪除sysxp.exeopenopenopen。

注意：如果您的 Symantec 防病毒產品報告無法刪除受感染檔案，Windows 可能在使用該檔案。 要解決該問題，請在安全模式下運行掃描。 有關指導，請參閱文檔：如何以安全模式啟動計算機。以安全模式重啟後，在此運行掃描。

（在檔案被刪除後，可以不離開安全模式並繼續執行部分4。完成後，在將以正常模式重新啟動計算機。）

5. 從註冊表刪除值

警告：Symantec 強烈建議在進行任何更改前先備份註冊表。 錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。 應只修改指定的鍵。 有關指導，請參閱文檔：如何備份 Windows 註冊表。

1. 單擊“開始”>“運行”。

2. 鍵入 regedit

然後單擊“確定”。

3. 導航至鍵：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除值：

"wingo" = "%System%\wingo.exe"

5. 導航至鍵：

HKEY_CURRENT_USER\Software\Microsoft\Params

6. 在右窗格中，刪除值：

"Timekey" = "[Random variables]"

7. 退出註冊表編輯器。

描述者： John Canavan