"恶鹰II"-(Worm.Beagle.B)
该病毒是年初爆发的“恶鹰”(Worm.Beagle.A)蠕虫病毒的最新变种,命名为“恶鹰II”(Worm.Beagle.B)。此次变种病毒仍以发邮件为传播方式,在被感染的系统内留后门,允许黑客远程上传并执行任意程序。此变种最大的不同在于,变种的病毒主程序在邮件附件中时,图标伪装成“命令提示符”,来欺骗用户运行它。病毒在运行时会弹出“录音机”系统程序来隐藏自己的运行,迷惑用户,使自己能成功侵入系统,并再以感染的系统为源,开始发送大量病毒邮件,冲击网络、冲击网络中的邮件服务器。
=====================================================================================================
病毒信息:
病毒名称: Worm.Beagle.B
中文名称: 恶鹰II
威胁级别: 3A
发现日期: 2004.02.18
处理日期: 2004.02.18
病毒别名:“恶鹰”变种(Worm.BBeagle.b) [瑞星]
W32/Bagle.b@MM [McAfee]
W32/Bagle.B@mm [Norman]
WORM_BAGLE.B [Trend Mirco]
W32/Bagle.B.worm [Panda],
病毒类型: 蠕虫、后门
受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
能处理的毒霸版本: 2004年02月18日
=====================================================================================================
技术特点:
· 发作条件:该病毒会检查系统日期,如果系统日期为2004年2月25日后,则它将不运行;
· 系统修改:
1、自我复制到系统目录 %system%Au.exe
2、在注册表主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
中添加如下键值:
"au.exe"="%System%au.exe"
以便病毒可随机启动;
在注册表主键:
HKEY_CURRENT_USERSOFTWAREWindows2000
中添加如下键值:
"frn" = "0x00000001" or "frn" = "0x00000000"以及"gid" = "<随机值>"
该随机值被攻击者作为被感染机器的唯一标识;
3、发作现象:
A、如果它不是从%System%Au.exe运行的,那么它还会启动系统自带的录音机程序
Sndrec32.exe
B、在被感染机器以下后缀名的文件中查找Email地址:
.wab
.txt
.htm
.html
C、改蠕虫使用其自带的SMTP引擎将其自己发送到查找到的Email地址。它包含自己的MIME编
码程序,并将会在内存中先生成邮件,然后发送。
其发送的邮件具有如下特征:
发件人: <具有欺骗性的地址>
主题: ID <随机字符>... thanks
正文:
Yours ID <随机字符>
- -
Thank
附件: <随机字符>.exe
该蠕虫不会将邮件发送给包含以下任何一个字符串的Email地址:
@hotmail.com
@msn.com
@microsoft
@avp.
D、该病毒会检查系统日期,如果系统日期为2004年2月25日后,则它将不运行
4、该病毒的后门特性
A、在TCP端口8866上打开一个后门供攻击者上传文件至被感染机器。所有上传的文件都被保
存在%System%目录下,并被运行;
B、每隔10,000秒都会向以下网站的TCP 80端口发送HTTP GET请求
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
该GET请求包含被感染机器的监听端口,注册表键值"gid"中纪录的ID号,以及其IP地址。
=====================================================================================================
解决方案:
· 请使用金山毒霸2004年02月18日的病毒库可完全处理该病毒;
· 请注意不要打开陌生人的邮件,由期对有带有可执行程序的附件,要特别警惕;
· 手工解决方案:
对于系统是Windows9x,WindowsMe:
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为
C:windowssystem),分别输入以下命令,以便删除病毒程序:
C:windowssystem>del Au.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
"au.exe"="%System%au.exe"
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER > SOFTWARE
找到子键Windows2000,并将其全部删除
关闭注册表编辑器。
对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务
管理器中,单击“进程”标签,在例表栏内找病毒进程“Au.exe”,单击“结束进程按钮”,
点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统目录(Winntsystem32或
windowssystem32),找到文件“Au.exe”,将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
在右边的面板中, 找到并删除如下项目:
"au.exe"="%System%au.exe"
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER > SOFTWARE
找到子键Windows2000,并将其全部删除
关闭注册表编辑器.