"恶鹰II"-(Worm.Beagle.B)

来自WordPress中文文档
跳转至: 导航搜索

该病毒是年初爆发的“恶鹰”(Worm.Beagle.A)蠕虫病毒的最新变种,命名为“恶鹰II”(Worm.Beagle.B)。此次变种病毒仍以发邮件为传播方式,在被感染的系统内留后门,允许黑客远程上传并执行任意程序。此变种最大的不同在于,变种的病毒主程序在邮件附件中时,图标伪装成“命令提示符”,来欺骗用户运行它。病毒在运行时会弹出“录音机”系统程序来隐藏自己的运行,迷惑用户,使自己能成功侵入系统,并再以感染的系统为源,开始发送大量病毒邮件,冲击网络、冲击网络中的邮件服务器。


  病毒信息:

  病毒名称: Worm.Beagle.B   中文名称: 恶鹰II   威胁级别: 3A   发现日期: 2004.02.18   处理日期: 2004.02.18   病毒别名:“恶鹰”变种(Worm.BBeagle.b) [瑞星]         W32/Bagle.b@MM [McAfee]         W32/Bagle.B@mm [Norman]         WORM_BAGLE.B [Trend Mirco]         W32/Bagle.B.worm [Panda],   病毒类型: 蠕虫、后门   受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003   能处理的毒霸版本: 2004年02月18日

  技术特点:

  · 发作条件:该病毒会检查系统日期,如果系统日期为2004年2月25日后,则它将不运行;

  · 系统修改:

    1、自我复制到系统目录 %system%\Au.exe

    2、在注册表主键:       HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run       中添加如下键值:       "au.exe"="%System%\au.exe"       以便病毒可随机启动;

      在注册表主键:       HKEY_CURRENT_USER\SOFTWARE\Windows2000       中添加如下键值:       "frn" = "0x00000001" or "frn" = "0x00000000"以及"gid" = "<随机值>"       该随机值被攻击者作为被感染机器的唯一标识;        3、发作现象:      A、如果它不是从%System%\Au.exe运行的,那么它还会启动系统自带的录音机程序       Sndrec32.exe

     B、在被感染机器以下后缀名的文件中查找Email地址:       .wab       .txt       .htm       .html

     C、改蠕虫使用其自带的SMTP引擎将其自己发送到查找到的Email地址。它包含自己的MIME编        码程序,并将会在内存中先生成邮件,然后发送。        其发送的邮件具有如下特征:

 发件人: <具有欺骗性的地址>  主题: ID <随机字符>... thanks  正文:  Yours ID <随机字符>  - -  Thank  附件: <随机字符>.exe

 该蠕虫不会将邮件发送给包含以下任何一个字符串的Email地址:  @hotmail.com  @msn.com  @microsoft  @avp.

    D、该病毒会检查系统日期,如果系统日期为2004年2月25日后,则它将不运行

   4、该病毒的后门特性      A、在TCP端口8866上打开一个后门供攻击者上传文件至被感染机器。所有上传的文件都被保        存在%System%目录下,并被运行;

     B、每隔10,000秒都会向以下网站的TCP 80端口发送HTTP GET请求        www.strato.de/1.php        www.strato.de/2.php        www.47df.de/wbboard/1.php        www.intern.games-ring.de/2.php        该GET请求包含被感染机器的监听端口,注册表键值"gid"中纪录的ID号,以及其IP地址。

  解决方案:

  · 请使用金山毒霸2004年02月18日的病毒库可完全处理该病毒;

  · 请注意不要打开陌生人的邮件,由期对有带有可执行程序的附件,要特别警惕;

  · 手工解决方案:

  对于系统是Windows9x,WindowsMe:

  步骤一,删除病毒主程序   请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为   C:\windows\system),分别输入以下命令,以便删除病毒程序:   C:\windows\system\>del Au.exe   完毕后,取出系统软盘,重新引导到Windows系统。   如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

  步骤二,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run   在右边的面板中, 找到并删除如下项目:   "au.exe"="%System%\au.exe"   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_CURRENT_USER > SOFTWARE   找到子键Windows2000,并将其全部删除   关闭注册表编辑器。


  对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever:

  步骤一,使用进程序管里器结束病毒进程   右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务   管理器中,单击“进程”标签,在例表栏内找病毒进程“Au.exe”,单击“结束进程按钮”,   点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

  步骤二,查找并删除病毒程序   通过“我的电脑”或“资源管理器”进入系统目录(Winnt\system32或   windows\system32),找到文件“Au.exe”,将它们删除;

  步骤三,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run   在右边的面板中, 找到并删除如下项目:   "au.exe"="%System%\au.exe"   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_CURRENT_USER > SOFTWARE   找到子键Windows2000,并将其全部删除   关闭注册表编辑器.