病毒长度: 15872
发现日期: 2004.01.19
处理日期: 2004.01.19
中文名称:恶鹰
病毒别名: I-Worm.Bagle [Kaspersky], WORM_BAGLE.A [Trend], W32.Beagle.A@mm [symantec]
病毒类型: 蠕虫
受影响系统: Win9x/NT/Win2000/WinXP
威胁级别: 中
能处理的毒霸版本: 2004.01.19
编写工具: 汇编
传染条件:
该蠕虫从扩展名为: WAB; TXT; HTM; HTML
中搜索电子邮件地址, 然后将自身作为附件发送到收集到的邮件地址, 不向下列邮箱发送邮件:
@hotmail.com; @msn.com; @microsoft; @avp
在1月28号后停止发作. 该蠕虫自带了一个smtp引擎进行传播, 其发送邮件的格式如下:
邮件主题: Hi
邮件内容:
Test =)
<随机生成的一些字符>
--
Test, yep.
附件名称: <随机名称>.exe
附件大小: 16K
发作条件:
1月28号后停止发作.
系统修改:
<1>拷贝文件 %system%\bbeagle.exe
<2>在注册表写入下列键值, 使得病毒在系统启动时自动运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"
HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"
<3>为了使病毒持续活动,在注册表写入下列键值;
HKEY_USERS\%SystemInfo%\Software\Windows98
Uid = <随机数值>
HKEY_USERS\%SystemInfo%\Software\Windows98
Frun = %SystemInfo%
注: %SystemInfo%指系统信息, 如: Class ID 或用户名等.
发作现象:
由于附件的图标根windows自带计算器图标相似, 容易使用户上当, 当用户运行病毒后, 病毒先运行自身, 然后再运行windows自带计算器, 因此具有一定的欺骗性. 病毒此时在后台运行搜索邮件地址, 发送邮件等.
特别说明:
病毒自带了smtp引擎, 因而可以比较随意的以匿名方式发送邮件.
该病毒会在用户机器上建立一个后门,监听6777端口,使攻击者可以在用户机上执行他传来的任意程序。
其他细节:
病毒为了更新会尝试连接下面的网站:
http://www.elrahop.de/1.php
http://www.itmsc.de/1.php
http://www.getorfree.net/1.php
http://www.dmsign.de/1.php
http://64.1.228.13/1.php
http://www.leonzenitsky.com/1.php
http://216.98.6.248/1.php
http://216.98.4.247/1.php
http://www.cdroma.com/1.php
http://www.kunstin-templin.de/1.php
http://vipwe.ru/1.php
http://antolco.ru/1.php
http://www.bagsdostavka.mags.ru/1.php
http://www.512.ru/1.php
http://boseaudio.net/1.php
http://www.stngdata.de/1.php
http://wh9.tudresden.de/1.php
http://www.mionuke.net/1.php
http://www.stahagen.org/1.php
http://www.beastycars.de/1.php
http://www.poloexe.de/1.php
http://www.bi88.de/1.php
http://www.grefathpaenz.de/1.php
http://www.bhaidy.de/1.php
http://www.mystivws.de/1.php
http://www.autohobby-essen.de/1.php
http://www.pozicke.de/1.php
http://www.twrmusic.de/1.php
http://www.scerbendorf.de/1.php
http://www.montia.de/1.php
http://www.medmartin.de/1.php
http://vvgn.de/1.php
http://www.ballonoto.com/1.php
http://www.mardergmbh.de/1.php
http://www.dvdfilme.com/1.php
http://www.seangol.com/1.php
病毒为了获得远程连接, 它会对端口进行扫描.
解决方案:
1>升级毒霸病毒库到最新, 进行全盘查杀即可.
2>手工清除:
<1>终止恶意程序:
打开windows任务管理器.
在windows95/98/ME系统中, 按CTRL+ALT+DELETE
在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
在运行程序列表中, 找到进程:
bbeagle.exe
选择恶意程序进程, 然后点击结束任务或结束进程按钮(取决于windows的版本).
为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
关掉任务管理器.
*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.
<2>删除注册表中的自启动项目:
从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter
在左边的面板中, 双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
d3dupdate.exe = "%System%\bbeagle.exe"
注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\Windows\System, 在WindowsNT和2000系统中是:WINNT\System32, 在Windows XP系统中是C:\Windows\System32.
在左边的面板中, 双击:
HKEY_USERS>%SystemInfo%>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
d3dupdate.exe = "%System%\bbeagle.exe"
注意: %SystemInfo% 是指系统信息, 例如Class ID或用户名.
注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.
<3>删除注册表中的其他恶意项目
如下是删除注册表中其他恶意项目的说明.
仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入揢id?, 点击查找下一个.
当像如下键值出现时, 删除键值和数据:
HKEY_USERS\%SystemInfo%\Software\Windows98
在菜单条中点击编辑>查找, 在文本领域中输入run?, 点击查找下一个.
当像如下键值出现时, 删除键值和数据:
HKEY_USERS\%SystemInfo%\Software\Windows98
关闭注册表编辑器.
文章来源于领测软件测试网 https://www.ltesting.net/
