Worm.Beagle.bq

Worm.Beagle.bq是蠕蟲病毒惡鷹Beagle的新變種,它一旦運行,會嘗試關閉多種知名的防毒軟體,降低系統的安全性能,然後開啟多個病毒執行緒,並下載另一個病毒體,傳送垃圾郵件,實現蠕蟲傳播。

基本介紹

  • 中文名:Worm.Beagle.bq
  • 威脅級別::★★
  • 中文名稱::惡鷹
  • 病毒類型::蠕蟲
影響系統,病毒行為,

影響系統

Win9x / WinNT

病毒行為

1. 病毒體採用圖片圖示,被點擊運行後,會彈出圖片編輯器運行界面。而實際上病毒體已將自身
拷貝到%system%資料夾下,命名為winshot.exe,並釋放另一個動態鏈結檔案wiwshost.exe。
2. 病毒修改註冊表添加如下啟動項,使winshot.exe能夠開機運行:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"
3. wiwhost.exe實際上是一個動態鏈結檔案,它被注入到explorer.exe進程中,不但修改hosts檔案,
還嘗試關閉多種正在運行的安全進程,然後開啟多個執行緒,這些執行緒包括:
i) 搜尋註冊表中知名安全軟體註冊表項,並將其刪除,其中有:
Symantec
NAV
McAfee
KasperskyLab
Agnitum
Panda Software
Zone Labs
KAV50
ii) 遍歷硬碟;
iii) 結束以下安全進程的升級程式:
NUPGRADE.EXE
MSUPDATE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ISCUPP95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
iv) 從多個網址下載名為"o**3.gif"的檔案,將其拷貝到%windir%目錄下,命名為_re_file.exe,
然後運行這個可執行程式,這個程式會傳送大量垃圾郵件,實現病毒的傳播。

熱門詞條

聯絡我們