"恶鹰"变种AL(Worm.Beagle.al)

来自WordPress中文文档
跳转至: 导航搜索

病毒信息㈠:

  病毒名称: Worm.Beagle.al   中文名称: 恶鹰变种AL   威胁级别: 3C   发现日期: 2004.08.10   处理日期: 2004.08.10   病毒别名: I-Worm.Bagle.al [AVP]         W32/Bagle.aq@MM [McAfee]         WORM_BAGLE.AC [Trend]         Win32.Bagle.AG [Computer Associates]   病毒类型: 蠕虫、木马   受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003

  破坏方式:   A、使用自带的SMTP引擎大量发送病毒邮件,浪费大量网络资源,并可导致中小型邮件服务器极不稳定;   B、中止被感染系统中的大量安全软件,使系统安全性下降;   C、安装木马,木马下载病毒、留后门;   D、在每个文件夹中复制大量病毒复本,名字多为一些工具软件的名字,如果这些文件被共享出去,将使病毒具有利用局域网传播的能力。


  发作现象: 利用QQ,通过网络传播

  发作现象:

A、查找以下进程

FIREWALL.EXE ATUPDATER.EXE winxp.exe sys_xp.exe sysxp.exe LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE NUPGRADE.EXE MCUPDATE.EXE 如果存在以关闭这此进程

B、尝试从以下网站下载病毒体并运行: http://polobeer.de/2.jpg http://r2626r.de/2.jpg http://kooltokyo.ru/2.jpg http://mmag.ru/2.jpg http://advm1.gm.fh-koeln.de/2.jpg http://evadia.ru/2.jpg http://megion.ru/2.jpg http://molinero-berlin.de/2.jpg http://dozenten.f1.fhtw-berlin.de/2.jpg http://shadkhan.ru/2.jpg http://sacred.ru/2.jpg http://kypexin.ru/2.jpg http://www.gantke-net.com/2.jpg http://www.mcschnaeppchen.com/2.jpg http://www.rollenspielzirkel.de/2.jpg http://134.102.228.45/2.jpg http://196.12.49.27/2.jpg http://aus-Zeit.com/2.jpg http://lottery.h11.ru/2.jpg http://herzog.cs.uni-magdeburg.de/2.jpg http://yaguark.h10.ru/2.jpg http://213.188.129.72/2.jpg http://thorpedo.us/2.jpg http://szm.sk/2.jpg http://lars-s.privat.t-online.de/2.jpg http://www.no-abi2003.de/2.jpg http://www.mdmedia.org/2.jpg http://abi-2004.org/2.jpg http://sovea.de/2.jpg http://www.porta.de/2.jpg http://matzlinger.com/2.jpg http://pocono.ru/2.jpg http://controltechniques.ru/2.jpg http://alexey.pioneers.com.ru/2.jpg http://momentum.ru/2.jpg http://omegat.ru/2.jpg http://www.perfectgirls.net/2.jpg http://porno-mania.net/2.jpg http://colleen.ai.net/2.jpg http://ourcj.com/2.jpg http://free.bestialityhost.com/2.jpg http://slavarik.ru/2.jpg http://burn2k.ipupdater.com/2.jpg http://carabi.ru/2.jpg http://spbbook.ru/2.jpg http://binn.ru/2.jpg http://sbuilder.ru/2.jpg http://protek.ru/2.jpg http://www.PlayGround.ru/2.jpg http://celine.artics.ru/2.jpg http://www.artics.ru/2.jpg http://www.laserbuild.ru/2.jpg http://www.lamatec.com/2.jpg http://www.sensi.com/2.jpg http://www.oldtownradio.com/2.jpg http://www.youbuynow.com/2.jpg http://64.62.172.118/2.jpg http://www.tayles.com/2.jpg http://dodgetheatre.com/2.jpg http://www.thepositivesideofsports.com/2.jpg http://www.bridesinrussia.com/2.jpg http://fairy.dataforce.net/2.jpg http://www.pakwerk.ru/2.jpg http://home.profootball.ru/2.jpg http://www.ankil.ru/2.jpg http://www.ddosers.net/2.jpg http://tarkosale.net/2.jpg http://www.boglen.com/2.jpg http://change.east.ru/2.jpg http://www.teatr-estrada.ru/2.jpg http://www.glass-master.ru/2.jpg http://www.zeiss.ru/2.jpg http://www.sposob.ru/2.jpg http://www.glavriba.ru/2.jpg http://alfinternational.ru/2.jpg http://euroviolence.com/2.jpg http://www.webronet.com/2.jpg http://www.virtmemb.com/2.jpg http://www.infognt.com/2.jpg http://www.vivamedia.ru/2.jpg http://www.zelnet.ru/2.jpg http://www.dsmedia.ru/2.jpg http://www.vendex.ru/2.jpg http://www.elit-line.ru/2.jpg http://pixel.co.il/2.jpg http://www.milm.ru/2.jpg http://dev.tikls.net/2.jpg http://www.met.pl/2.jpg http://www.strefa.pl/2.jpg http://kafka.punkt.pl/2.jpg http://www.rubikon.pl/2.jpg http://www.neostrada.pl/2.jpg http://werel1.web-gratis.net/2.jpg http://www.tuhart.net/2.jpg http://www.antykoncepcja.net/2.jpg http://www.dami.com.pl/2.jpg http://vip.pnet.pl/2.jpg http://www.webzdarma.cz/2.jpg http://emnesty.w.interia.pl/2.jpg http://niebo.net/2.jpg http://strony.wp.pl/2.jpg http://sec.polbox.pl/2.jpg http://www.phg.pl/2.jpg http://emnezz.e-mania.pl/2.jpg http://www.republika.pl/2.jpg http://www.silesianet.pl/2.jpg http://www.republika.pl/2.jpg http://tdi-router.opola.pl/2.jpg http://republika.pl/2.jpg http://infokom.pl/2.jpg http://silesianet.pl/2.jpg http://terramail.pl/2.jpg http://silesianet.pl/2.jpg http://www.iluminati.kicks-ass.net/2.jpg http://www.dilver.ru/2.jpg http://www.yarcity.ru/2.jpg http://www.scli.ru/2.jpg http://www.elemental.ru/2.jpg http://diablo.homelinux.com/2.jpg http://www.interrybflot.ru/2.jpg http://www.webpark.pl/2.jpg http://www.rafani.cz/2.jpg http://gutemine.wu-wien.ac.at/2.jpg http://przeglad-tygodnik.pl/2.jpg http://przeglad-tygodnik.pl/2.jpg http://pb195.slupsk.sdi.tpnet.pl/2.jpg http://www.ciachoo.pl/2.jpg http://cavalierland.5u.com/2.jpg http://www.nefkom.net/2.jpg http://rausis.latnet.lv/2.jpg http://www.hgr.de/2.jpg http://www.airnav.com/2.jpg http://www.astoria-stuttgart.de/2.jpg http://ultimate-best-hgh.0my.net/2.jpg http://wynnsjammer.proboards18.com/2.jpg http://www.jewishgen.org/2.jpg http://www.hack-gegen-rechts.com/2.jpg http://host.wallstreetcity.com/2.jpg http://quotes.barchart.com/2.jpg http://www.aannemers-nederland.nl/2.jpg http://www.sjgreatdeals.com/2.jpg http://financial.washingtonpost.com/2.jpg http://www.biratnagarmun.org.np/2.jpg http://hsr.zhp.org.pl/2.jpg http://traveldeals.sidestep.com/2.jpg http://www.hbz-nrw.de/2.jpg http://www.ifa-guide.co.uk/2.jpg http://www.inversorlatino.com/2.jpg http://www.zhp.gdynia.pl/2.jpg http://host.businessweek.com/2.jpg http://packages.debian.or.jp/2.jpg http://www.math.kobe-u.ac.jp/2.jpg http://www.k2kapital.com/2.jpg http://www.tanzen-in-sh.de/2.jpg http://www.wapf.com/2.jpg http://www.hgrstrailer.com/2.jpg http://www.forbes.com/2.jpg http://www.oshweb.com/2.jpg http://www.rumbgeo.ru/2.jpg http://www.dicto.ru/2.jpg http://www.busheron.ru/2.jpg http://www.omnicom.ru/2.jpg http://www.teleline.ru/2.jpg http://www.dynex.ru/2.jpg http://www.gamma.vyborg.ru/2.jpg http://nominal.kaliningrad.ru/2.jpg http://www.baltmatours.com/2.jpg http://www.interfoodtd.ru/2.jpg http://www.baltnet.ru/2.jpg http://www.neprifan.ru/2.jpg http://photo.gornet.ru/2.jpg http://www.aktor.ru/2.jpg http://catalog.zelnet.ru/2.jpg http://www.sdsauto.ru/2.jpg http://www.gradinter.ru/2.jpg http://www.avant.ru/2.jpg http://www.porsa.ru/2.jpg http://www.taom-clan.de/2.jpg http://www.perfectjewel.com/2.jpg http://www.vrack.net/2.jpg http://www.netradar.com/2.jpg http://www.pgipearls.com/2.jpg http://www.vconsole.net/2.jpg http://www.ccbootcamp.com/2.jpg http://host23.ipowerweb.com/2.jpg http://www.timelessimages.com/2.jpg http://www.peterstar.ru/2.jpg http://www.5100.ru/2.jpg http://www.gin.ru/2.jpg http://www.rweb.ru/2.jpg http://www.metacenter.ru/2.jpg http://www.biysk.ru/2.jpg http://www.free-time.ru/2.jpg http://www.rastt.ru/2.jpg http://www.chelny.ru/2.jpg http://www.chat4adult.com/2.jpg http://www.landofcash.net/2.jpg http://relay.great.ru/2.jpg http://www.kefaloniaresorts.com/2.jpg http://www.epski.gr/2.jpg http://www.myrtoscorp.com/2.jpg http://www.aphel.de/2.jpg http://www.intellect.lvc/2.jpg http://www.abcdesign.ru/2.jpg C、尝试在以下扩展名文件中搜索邮件地址: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml

D、如果邮件地址含有以下字符,则不会发送: @avp. @foo @iana @messagelab @microsoft abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip


E、发送病毒文件

内容为: New price

附件名为: 08_price.zip new__price.zip new_price.zip newprice.zip price.zip price_08.zip price_new.zip price2.zip

F、开启 TCP80 UDP80 作为后门

G、尝试将自身复制到每个文件夹内,文件名可能为以下之一: Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe

  技术特点:


A、将自身复制到: %System%\WINdirect.exe

B、生成以下文件: %System%\_dll.exe (11776Bytes) 在注册表主键: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 添加如下键值: "win_upd2.exe"="%System%\WINdirect.exe"

C、从网上下载病毒

D、将自身复制到: %SystemRoot%\WINDLL.EXE %SystemRoot%\WINDLL.EXEOPEN %SystemRoot%\WINDLL.EXEOPENOPEN

E、在注册表主键 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 添加 "erthgdr" = "%System%\windll.exe"

F、创建如下互斥体阻止NetSky运行 MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 'D'r'o'p'p'e'd'S'k'y'N'e't' _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

G、尝试在注册表主键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除如下键值: "9XHtProtect" "Antivirus" "EasyAV" "FirewallSvr" "HtProtect" "ICQ Net" "ICQNet" "Jammer2nd" "KasperskyAVEng" "MsInfo" "My AV" "NetDy" "Norton Antivirus AV" "PandaAVEngine" "SkynetsRevenge" "Special Firewall Service" "SysMonXP" "Tiny AV" "Zone Labs Client Ex" "service"

H、创建以下注册表键: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n

 解决方案:

  ·请使用金山毒霸2004年8月10日的病毒库可完全处理该病毒;   ·企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭;   ·开启金山毒霸病毒防火墙可防止病毒入侵。   安全小贴士:

   A、养成良好的安全习惯。只有不轻易打开即时通讯工具传来的网址、不随便打开来历不明的邮件及附件、不到不安全的网站下载可执行程序、不要执行从 Internet 下载后未经杀毒处理的软件等,才能确保您系统的安全。    B、经常升级系统补丁。好多网络病毒是通过系统漏洞进行传播的,已出现的重大病毒如:冲击波、震荡波等,都是利用了系统漏洞,所以请您定期到微软网站下载最新的安全补丁,及时补住您系统的漏洞。    C、使用较为复杂的密码保护。有许多网络病毒通过弱密码攻击用户机器,也就是通过猜测用户机器密码的方式攻击系统,因此使用复杂的密码,将会大大提高计算机的安全系数。