Worm.Beagle.as病毒為惡鷹家族的新變種。它會把自身複製到用戶機器上包含"shar"字元串的資料夾內,檔案名稱跟一些正常檔案的檔案名稱非常相似,以此來誘惑用戶打開運行病毒程式。該病毒會向外傳送大量的帶毒郵件,嚴重的堵塞用戶網路。建議用戶開啟防火牆來防止該病毒的侵入。
基本介紹
- 中文名:惡鷹變種as
- 外文名:Worm.Beagle.as
- 威脅級別:★★
- 病毒類型:蠕蟲
簡介,防毒,
簡介
病毒別名:I-Worm.Bagle. as[AVP], W32/Bagle. az@MM [McAfee], WORM_BAGLE. AM [Trend]
影響系統:Win9x / WinNT
防毒
1.創建以下幾個互斥量來防止NetSky病毒運行:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
[_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_]
2.在被感染的機器上創建以下檔案:
%System%\bawindo.exe.
%System%\bawindo.exeopen
%System%\bawindo.exeopenopen
%System%\re_file.exe
3.在註冊表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中
增加"bawindo"="%System%\bawindo.exe"來確保自身能隨計算機啟動
4.從HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除包含以下字元串的鍵值:
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
5.在包含"shar"字元串的目錄下創建檔案,檔案名稱可能為下列字元:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
6.搜尋以下列字元串為擴展名的檔案來獲得Email地址,並用自帶的SMTP引擎傳送帶毒郵件
adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
7.病毒傳送的帶毒郵件具有如下特徵:
發件人:偽造的
主題:
Re:
Re: Hello
Re: Thank you!
Re: Thanks :
Re: Hi
正文:
:
:
附屬檔案:
檔案名稱可能為:
Price
price
Joke
擴展名可能為:
.com/.scr/.cpl
8.該病毒不會向包含以下字元串的郵件地址傳送郵件
@avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
9.打開被病毒感染的主機的Tcp81和Udp81連線埠用來轉發郵件