Worm.Beagle.z

病毒信息：

病毒名称: Worm.Beagle.z

中文名称: 恶鹰变种Z

威胁级别: 3A

病毒别名: I-Worm.Bagle.z [Kaspersky]

WORM_BAGLE.Z [Trend]

W32/Bagle.aa@MM [McAfee]

W32/Bagle-AA [Sophos]

Win32.Bagle.X [Computer Associates]

病毒类型: 蠕虫、后门

受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,

Windows Server 2003, Windows XP

破坏方式：

· 利用自带的SMTP发信引擎疯狂发送病毒邮件，堵塞网络，导致邮件服务器不稳定；

· 利用点对点共享软件进行传播；

· 中止大量反病毒软件和个人防火墙，降低系统安全性。

发作现象:

病毒运行时会弹出《如图》对话框：

· 技术特点：

A、通过打开下列互斥体，使内存只有一个病毒进程

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

B、删除下列键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"My AV"

"Zone Labs Client Ex"

"9XHtProtect"

"Antivirus"

"Special Firewall Service"

"service"

"Tiny AV"

"ICQNet"

"HtProtect"

"NetDy"

"Jammer2nd"

"FirewallSvr"

"MsInfo"

"SysMonXP"

"EasyAV"

"PandaAVEngine"

"Norton Antivirus AV"

"KasperskyAVEng"

"SkynetsRevenge"

"ICQ Net"

以上键值为NETSKY病毒添加的

C、拷贝自身到

%System%\Drvddll.exe.

%System%\Drvddll.exeopen

%System%\Drvddll.exeopenopen

D、如果系统时间是2005年2月25以后，蠕虫将会删除自身。

E、添加下列键值：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Drvddll_exe"="%system%\drvddll.exe"

F、在tcp2535端口开设后门，可以让攻击者上传并执行病毒。

G、拷贝自身到局域网共享目录，名字如下：

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

H、中止大量反病毒软件和网络防火墙软件

I、搜索本地扩展名为下列的文件获得邮件地址：

.wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp

.php .pl .wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm .jsp

J、使用自带的SMTP发送引擎发送病毒邮件，以下是邮件特片：

发件人：<欺骗性的>

主题： <以下的字符串之一>

Re: Msg reply

Re: Hello

Re: Yahoo!

Re: Thank you!

Re: Thanks :)

RE: Text message

Re: Document

Incoming message

Re: Incoming Message

RE: Incoming Msg

RE: Message Notify

Notification

Changes..

New changes

Hidden message

Fax Message Received

Protected message

RE: Protected message

Forum notify

Site changes

Re: Hi

Encrypted document

内容：

For security reasons attached file is password protected. The password is

For security purposes the attached file is password protected. Password --

Note: Use password

Attached file is protected with the password for security reasons. Password is

In order to read the attach you have to use the following password:

Archive password:

Password

Password:

followed by a copy of the image file dropped as drvddll.exeopenopen.

If the attachment is not a .zip file, the Body will be blank.

附件名称：

Information

Details

text_document

Readme

Document

Info

the_message

Details

MoreInfo

Message

You_will_answer_to_me

Half_Live

Counter_strike

Loves_money

the_message

Alive_condom

Joke

Toy

Nervous_illnesses

Manufacture

You_are_dismissed

Your_complaint

Your_money

Smoke

I_search_for_you

解决方案:

· 请使用金山毒霸2004年04月30日的病毒库可完全处理该病毒；

· 请不要轻易点击陌生人的邮件及下载运行所带附件，在运行可疑附件前最好先用毒霸扫描；

· 手工解决方案：

首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；

（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）

对于系统是Windows9x/WinMe：

步骤一，删除病毒主程序

请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为

C:\windows），分别输入以下命令，以便删除病毒程序：

C:\windows\system\>del Drvddll.exe

C:\windows\system\>del Drvddll.exeopen*

完毕后，取出系统软盘，重新引导到Windows系统。

如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

步骤二，清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序分别查找，找到后双击）：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

HKEY_USER>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中, 找到并删除如下项目：

Drvddll.exe = "%System%\Drvddll.exe"

关闭注册表编辑器.

对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

步骤一，使用进程序管里器结束病毒进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“Drvddll.exe”，单击“结束进

程按钮”点击“是”，结束病毒进程，然后关闭“Windows任务管理器” ；

步骤二，查找并删除病毒程序

通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows)，再进入system32目录，

找到文件“Drvddll.exe”，将它删除。注意清空回收站内的内容；

步骤三，清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

HKEY_USER>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中, 找到并删除如下项目：

Drvddll.exe = "%System%\Drvddll.exe"

关闭注册表编辑器.