基本介紹
- 中文名:惡鷹
- 外文名:Worm.Beagle.o
- 病毒大小:26,557位元組
- 病毒類型:蠕蟲病毒
- 病毒危險等級:★★★★
病毒評估,病毒危害,病毒報告,病毒防治,進行升級,專殺工具,下載線上防毒,電話求救,手動清除,
病毒評估
1.病毒中文名:
2.病毒英文名:Worm.Bbeagle.q
5.
6.病毒傳播途徑:網路,檔案感染
7.病毒依賴系統:Windows 9X/NT/2000/XPA
病毒危害
病毒報告
UPX壓縮,VC++6.0編寫,蠕蟲。一旦執行,病毒將自我複製到系統資料夾. 檔案名稱為:direct.exe及direct.exeopen 它將創建下列註冊表鍵值來使自己隨Windows系統自啟動: HKCU\Software\Microsoft\Windows\CurrentVersion\Run " direct.exe "="%SYSDIR%\ direct.exe" 病毒將刪除一些註冊表鍵值: HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run 及HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的以下鍵: My AV, Zone Labs Client Ex, 9XhtProtect, Antivirus, Special Firewall Service, service Tiny AV, ICQNet, HtProtect, NetDy, ICQ Net 監視: 病毒建立一個執行緒,對系統進行監控。殺死進程名和體內“黑名單”中相符的進程。 以下是病毒體內的進程“黑名單” CMGRDIAN.EXE, CMON016.EXE, CPF9X206.EXE, CPFNT206.EXE, CWNB181.EXE, CWNTDWMO.EXE,FP-WIN_TRIAL.EXE,FSAV.EXE,ICLOAD95.EXE, ICLOADNT.EXE, HACKTRACERSETUP.EXE, KAVLITE40ENG.EXE, AUPDATE.EXE, HWPE.EXE等等.. 郵件,PE檔案傳播: 病毒遍歷系統磁碟,當發現擴展名為:.wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp時病毒將打開該檔案並嘗試從中提取email地址並向該地址傳送帶 毒郵件。 當擴擴展名為:.exe的病毒將嘗試對其進行檔案感染。 在遍歷過程中,當目錄名存在“shar”字串時,病毒將自己複製到該目錄下,檔案名稱為 :Microsoft Office 2003 Crack, Working!.exe, Microsoft Windows XP, WinXP Crack, working Keygen.exe, Microsoft Office XP working Crack, Keygen.exe, Porno, sex, oral, anal cool, awesome!!.exe, Porno Screensaver.scr, Serials.txt.exe, Porno pics arhive, xxx.exe, Windows Sourcecode update.doc.exe, Ahead Nero 7.exe, Windown Longhorn Beta Leak.exe, Opera 8 New!.exe, XXX hardcore images.exe, WinAmp 6 New!.exe, WinAmp 5 Pro Keygen Crack Update.exe, Adobe Photoshop 9 full.exe, Matrix 3 Revolution English Subtitles.exe….. 郵件特徵: 包含以下字串: RE: Text message,Re: Document,Incoming message,Re: Incoming Message,RE: Protected message,Forum notify,Site changes,Encrypted document,Re: Hi,E-mail warning, Notify about your e-mail account utilization.,Notify from e-mail technical support., 附屬檔案為一個:加了密的zip檔案(病毒) 郵件還將附上zip檔案的密碼(一個病毒生成的bmp圖) 後門執行緒: 病毒監聽81連線埠接,向聯接上來的客戶端傳送以下腳本。 病毒監聽: 監聽2556連線埠接受一些客戶端傳來的特定命令。 註:病毒將在2005年12月31日以後失去傳播能力,病毒將自我刪除。
病毒防治
進行升級
瑞星公司將於當天進行升級,升級後的軟體版本號為16.18.30,該版本的瑞星防毒軟體可以徹底查殺此病毒,瑞星防毒軟體標準版和網路版的用戶可以直接登入瑞星網站下載升級包進行升級,或者使用瑞星防毒軟體的“智慧型升級”功能。
專殺工具
下載線上防毒
用戶還可以使用瑞星公司的線上防毒與下載版產品清除該病毒,這兩款產品有多種支付途徑,用戶可以登入使用線上防毒產品,或者登使用下載版產品。
電話求救
如果遇到關於該病毒的其它問題,用戶可以隨時撥打瑞星反病毒急救電來尋求反病毒專家的幫助!
手動清除
(1)打開註冊表編輯器,刪除如下鍵值<如果存在的話>:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" direct.exe"="%SYSDIR%\ direct.exe"
(2)打開任務管理器查看是否存在進程名為: direct.exe終止它
(3)將%SYSDIR%目錄下的檔案: direct.exe刪除
注:%SYSDIR%位Windows系統的安裝目錄,在Windows 9X/ME/XP下默認為:C:\WINDOWS\SYSTEM,Win2K下默認為:C:\WINNT\SYSTEM32。
