Win32.Troj.Beagle.at,電腦病毒,中文名稱,惡鷹AT下載木馬,該病毒影響系統主要是Win9x和WinNT,該檔案的Worm.Beagle.at 將會從網上下載的病毒檔案,用戶關閉感染機器上程式自動更新進程,並從網上再下載一系列後門檔案。
基本介紹
- 中文名:Win32.Troj.Beagle.at
- 威脅級別:★★
- 病毒類型:木馬
- 中文名稱:惡鷹AT下載木馬
簡介,自身複製,在註冊表,遠程注入,更新進程,下載後門,下載檔案,
簡介
【病毒名稱】:Win32.Troj.Beagle.at
【威脅級別】:★★
【病毒類型】:木馬
自身複製
1、將自身複製為:
%System%\widshost.exe
在註冊表
2、在註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下鍵值
"widshost"="%System%\widshost.exe"
遠程注入
3、遠程注入Explorer.exe,如果成功則在進程管理器中消失
更新進程
4、嘗試關閉以下程式更新進程:
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
下載後門
5、嘗試從以下網站下載後門:
http://www.amanit.ru/***.jpg
http://www.anthonyflanagan.com/***.jpg
http://www.approved1stmortgage.com/***.jpg
http://www.argument.h12.ru/***.jpg
http://www.arkebek.de/***.jpg
http://www.artek.org/***.jpg
http://www.asianfestival.nl/***.jpg
http://www.astergut.at/***.jpg
http://www.aviation-center.de/***.jpg
http://www.bbsh.org/***.jpg
http://www.besino.com/***.jpg
http://www.bestbuy.de/***.jpg
http://www.beta.mtw.ru/***.jpg
http://www.bga-gsm.ru/***.jpg
http://www.blessino.com/***.jpg
http://www.blueeyeinc.com/***.jpg
http://www.breaklight.be/***.jpg
http://www.brzesko.net.pl/***.jpg
http://www.catsystem.com.kg/***.jpg
http://www.cdnpartner.com.pl/***.jpg
http://www.ceskyhosting.cz/***.jpg
http://www.channeland.com/***.jpg
http://www.compsolutionstore.com/***.jpg
http://www.concept.kg/***.jpg
http://www.corpsite.com/***.jpg
http://www.couponcapital.net/***.jpg
http://www.DarrkSydebaby.com/***.jpg
http://www.dehut-westerhoven.nl/***.jpg
http://www.dhl.kg/***.jpg
http://www.dierollendedisco.de/***.jpg
http://www.discobaradventure.be/***.jpg
http://www.e-nfo.com/***.jpg
http://www.e-power.com.cn/***.jpg
http://www.ecobank.kg/***.jpg
http://www.elenalazar.com/***.jpg
http://www.epicbiz.com/***.jpg
http://www.europa.kg/***.jpg
http://www.everett.wednet.edu/***.jpg
http://www.externet.hu/***.jpg
http://www.forester.kg/***.jpg
http://www.fotocliparts.de/***.jpg
http://www.fotonw.org/***.jpg
http://www.freesites.com.br/***.jpg
http://www.funbunker.de/***.jpg
http://www.funworld.tv/***.jpg
http://[email protected]/***.jpg
http://www.gci-bln.de/***.jpg
http://www.gcnet.ru/***.jpg
http://www.giantrevenue.com/***.jpg
http://www.himpsi.org/***.jpg
http://www.i3dvr.com/***.jpg
http://www.ibigmart.net/***.jpg
http://www.idb-group.net/***.jpg
http://www.illusionoflife.net/***.jpg
http://www.infocuspromo.com/***.jpg
http://www.irinaswelt.de/***.jpg
http://www.jansenboiler.com/***.jpg
http://www.jasnet.pl/***.jpg
http://www.jcribeiro.com/***.jpg
http://www.jewelleryamberproducts.com/***.jpg
http://www.jimvann.com/***.jpg
http://www.jldr.ca/***.jpg
http://www.jordanramey.net/***.jpg
http://www.joy-musik-sound.de/***.jpg
http://www.justrepublicans.com/***.jpg
http://www.katel.kg/***.jpg
http://www.knicks.nl/***.jpg
http://www.koebers.pl/***.jpg
http://www.kogaionon.com/***.jpg
http://www.kplus.kg/***.jpg
http://www.kradtraining.de/***.jpg
http://www.kranenberg.de/***.jpg
http://www.kranenberg.de:113547@/***.jpg
http://www.kstrus.com.pl/***.jpg
http://www.ktsonline.de/***.jpg
http://www.lahelaino.com/***.jpg
http://www.lawform.com.au/***.jpg
http://www.leetexgroup.com/***.jpg
http://www.leshrak.de/***.jpg
http://www.leshrak.de:prophets@/***.jpg
http://www.logoseiten.de/***.jpg
http://www.magicbottle.com.tw/***.jpg
http://www.mcuserver.cz/***.jpg
http://www.mega-spass.com/***.jpg
http://www.mega.kg/***.jpg
http://www.mepbisu.de/***.jpg
http://www.mepmh.de/***.jpg
http://www.mtfdesign.com/***.jpg
http://www.mtransit.kg/***.jpg
http://www.neotech.kg/***.jpg
http://www.nikonfotoshare.com/***.jpg
http://www.novosti.kg/***.jpg
http://www.ok.kg/***.jpg
http://www.onepositiveplace.org/***.jpg
http://www.online.kg/***.jpg
http://www.orangesuburban.5u.com/***.jpg
http://www.otv.ch/***.jpg
http://www.pageantpage.com/***.jpg
http://www.pankration.com/***.jpg
http://www.para-agility.com/***.jpg
http://www.pdxracing.net/***.jpg
http://www.pfadfinder-leobersdorf.com/***.jpg
http://www.pipni.cz/***.jpg
http://www.pjwstk.edu.pl/***.jpg
http://www.polizeimotorrad.de/***.jpg
http://www.proway-consulting.com/***.jpg
http://www.pugetsoundyc.org/***.jpg
http://www.pyrlandia-boogie.pl/***.jpg
http://www.qphoto.co.za/***.jpg
http://www.raecoinc.com/***.jpg
http://www.realgps.com/***.jpg
http://www.realty.kg/***.jpg
http://www.redlightpictures.com/***.jpg
http://www.reliance-yachts.com/***.jpg
http://www.relocationflorida.com/***.jpg
http://www.rentalstation.com/***.jpg
http://www.rieraquadros.com.br/***.jpg
http://www.roaming.kg/***.jpg
http://www.sacohalle.be/***.jpg
http://www.scanex-medical.fi/***.jpg
http://www.scoping4success.com/***.jpg
http://www.sert.ru/***.jpg
http://www.sigi.lu/***.jpg
http://www.spadochron.pl/***.jpg
http://www.ssc.kg/***.jpg
http://www.ssmifc.ca/***.jpg
http://www.stadtmeyers.de/***.jpg
http://www.stadtmeyers.de:R2D2c3po@/***.jpg
http://www.sterlingirb.com/***.jpg
http://www.sunassetholdings.com/***.jpg
http://www.szantomierz.art.pl/***.jpg
http://www.szosa.pl/***.jpg
http://www.tambourenvereine.ch/***.jpg
http://www.tarnow.opoka.org.pl/***.jpg
http://www.tc-muraene.com/***.jpg
http://www.tc-muraene.com:hunter@/***.jpg
http://www.theroyalregistry.com/***.jpg
http://www.transportation.gov.bh/***.jpg
http://www.tumar.kg/***.jpg
http://www.tunguska.hu/***.jpg
http://www.turkeyhomes.com/***.jpg
http://www.turkeyhomes.com@/***.jpg
http://www.ulpiano.org/***.jpg
http://www.unicity.pl/***.jpg
http://www.vbw.info/***.jpg
http://www.velezcourtesymanagement.com/***.jpg
http://www.vorrix.com/***.jpg
http://www.webpark.pl/***.jpg
http://www.wecompete.com/***.jpg
http://www.wp.pl/***.jpg
http://www.wwwebad.com/***.jpg
http://www.xpager321.wz.cz/***.jpg
http://www.yamdiamonds.com/***.jpg
http://www.zander-yachting.com/***.jpg
下載檔案
6、下載檔案保存在
%SystemRoot%\File.exe
並執行該檔案。