"恶鹰"变种AL(Worm.Beagle.al)

病毒信息㈠：

病毒名称: Worm.Beagle.al

中文名称: 恶鹰变种AL

威胁级别: 3C

发现日期: 2004.08.10

处理日期: 2004.08.10

病毒别名: I-Worm.Bagle.al [AVP]

W32/Bagle.aq@MM [McAfee]

WORM_BAGLE.AC [Trend]

Win32.Bagle.AG [Computer Associates]

病毒类型: 蠕虫、木马

受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003

破坏方式：

A、使用自带的SMTP引擎大量发送病毒邮件，浪费大量网络资源，并可导致中小型邮件服务器极不稳定；

B、中止被感染系统中的大量安全软件，使系统安全性下降；

C、安装木马，木马下载病毒、留后门；

D、在每个文件夹中复制大量病毒复本，名字多为一些工具软件的名字，如果这些文件被共享出去，将使病毒具有利用局域网传播的能力。

发作现象: 利用QQ,通过网络传播

发作现象：

A、查找以下进程

FIREWALL.EXE

ATUPDATER.EXE

winxp.exe

sys_xp.exe

sysxp.exe

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE

如果存在以关闭这此进程

B、尝试从以下网站下载病毒体并运行：

http://polobeer.de/2.jpg

http://r2626r.de/2.jpg

http://kooltokyo.ru/2.jpg

http://mmag.ru/2.jpg

http://advm1.gm.fh-koeln.de/2.jpg

http://evadia.ru/2.jpg

http://megion.ru/2.jpg

http://molinero-berlin.de/2.jpg

http://dozenten.f1.fhtw-berlin.de/2.jpg

http://shadkhan.ru/2.jpg

http://sacred.ru/2.jpg

http://kypexin.ru/2.jpg

http://www.gantke-net.com/2.jpg

http://www.mcschnaeppchen.com/2.jpg

http://www.rollenspielzirkel.de/2.jpg

http://134.102.228.45/2.jpg

http://196.12.49.27/2.jpg

http://aus-Zeit.com/2.jpg

http://lottery.h11.ru/2.jpg

http://herzog.cs.uni-magdeburg.de/2.jpg

http://yaguark.h10.ru/2.jpg

http://213.188.129.72/2.jpg

http://thorpedo.us/2.jpg

http://szm.sk/2.jpg

http://lars-s.privat.t-online.de/2.jpg

http://www.no-abi2003.de/2.jpg

http://www.mdmedia.org/2.jpg

http://abi-2004.org/2.jpg

http://sovea.de/2.jpg

http://www.porta.de/2.jpg

http://matzlinger.com/2.jpg

http://pocono.ru/2.jpg

http://controltechniques.ru/2.jpg

http://alexey.pioneers.com.ru/2.jpg

http://momentum.ru/2.jpg

http://omegat.ru/2.jpg

http://www.perfectgirls.net/2.jpg

http://porno-mania.net/2.jpg

http://colleen.ai.net/2.jpg

http://ourcj.com/2.jpg

http://free.bestialityhost.com/2.jpg

http://slavarik.ru/2.jpg

http://burn2k.ipupdater.com/2.jpg

http://carabi.ru/2.jpg

http://spbbook.ru/2.jpg

http://binn.ru/2.jpg

http://sbuilder.ru/2.jpg

http://protek.ru/2.jpg

http://www.PlayGround.ru/2.jpg

http://celine.artics.ru/2.jpg

http://www.artics.ru/2.jpg

http://www.laserbuild.ru/2.jpg

http://www.lamatec.com/2.jpg

http://www.sensi.com/2.jpg

http://www.oldtownradio.com/2.jpg

http://www.youbuynow.com/2.jpg

http://64.62.172.118/2.jpg

http://www.tayles.com/2.jpg

http://dodgetheatre.com/2.jpg

http://www.thepositivesideofsports.com/2.jpg

http://www.bridesinrussia.com/2.jpg

http://fairy.dataforce.net/2.jpg

http://www.pakwerk.ru/2.jpg

http://home.profootball.ru/2.jpg

http://www.ankil.ru/2.jpg

http://www.ddosers.net/2.jpg

http://tarkosale.net/2.jpg

http://www.boglen.com/2.jpg

http://change.east.ru/2.jpg

http://www.teatr-estrada.ru/2.jpg

http://www.glass-master.ru/2.jpg

http://www.zeiss.ru/2.jpg

http://www.sposob.ru/2.jpg

http://www.glavriba.ru/2.jpg

http://alfinternational.ru/2.jpg

http://euroviolence.com/2.jpg

http://www.webronet.com/2.jpg

http://www.virtmemb.com/2.jpg

http://www.infognt.com/2.jpg

http://www.vivamedia.ru/2.jpg

http://www.zelnet.ru/2.jpg

http://www.dsmedia.ru/2.jpg

http://www.vendex.ru/2.jpg

http://www.elit-line.ru/2.jpg

http://pixel.co.il/2.jpg

http://www.milm.ru/2.jpg

http://dev.tikls.net/2.jpg

http://www.met.pl/2.jpg

http://www.strefa.pl/2.jpg

http://kafka.punkt.pl/2.jpg

http://www.rubikon.pl/2.jpg

http://www.neostrada.pl/2.jpg

http://werel1.web-gratis.net/2.jpg

http://www.tuhart.net/2.jpg

http://www.antykoncepcja.net/2.jpg

http://www.dami.com.pl/2.jpg

http://vip.pnet.pl/2.jpg

http://www.webzdarma.cz/2.jpg

http://emnesty.w.interia.pl/2.jpg

http://niebo.net/2.jpg

http://strony.wp.pl/2.jpg

http://sec.polbox.pl/2.jpg

http://www.phg.pl/2.jpg

http://emnezz.e-mania.pl/2.jpg

http://www.republika.pl/2.jpg

http://www.silesianet.pl/2.jpg

http://www.republika.pl/2.jpg

http://tdi-router.opola.pl/2.jpg

http://republika.pl/2.jpg

http://infokom.pl/2.jpg

http://silesianet.pl/2.jpg

http://terramail.pl/2.jpg

http://silesianet.pl/2.jpg

http://www.iluminati.kicks-ass.net/2.jpg

http://www.dilver.ru/2.jpg

http://www.yarcity.ru/2.jpg

http://www.scli.ru/2.jpg

http://www.elemental.ru/2.jpg

http://diablo.homelinux.com/2.jpg

http://www.interrybflot.ru/2.jpg

http://www.webpark.pl/2.jpg

http://www.rafani.cz/2.jpg

http://gutemine.wu-wien.ac.at/2.jpg

http://przeglad-tygodnik.pl/2.jpg

http://przeglad-tygodnik.pl/2.jpg

http://pb195.slupsk.sdi.tpnet.pl/2.jpg

http://www.ciachoo.pl/2.jpg

http://cavalierland.5u.com/2.jpg

http://www.nefkom.net/2.jpg

http://rausis.latnet.lv/2.jpg

http://www.hgr.de/2.jpg

http://www.airnav.com/2.jpg

http://www.astoria-stuttgart.de/2.jpg

http://ultimate-best-hgh.0my.net/2.jpg

http://wynnsjammer.proboards18.com/2.jpg

http://www.jewishgen.org/2.jpg

http://www.hack-gegen-rechts.com/2.jpg

http://host.wallstreetcity.com/2.jpg

http://quotes.barchart.com/2.jpg

http://www.aannemers-nederland.nl/2.jpg

http://www.sjgreatdeals.com/2.jpg

http://financial.washingtonpost.com/2.jpg

http://www.biratnagarmun.org.np/2.jpg

http://hsr.zhp.org.pl/2.jpg

http://traveldeals.sidestep.com/2.jpg

http://www.hbz-nrw.de/2.jpg

http://www.ifa-guide.co.uk/2.jpg

http://www.inversorlatino.com/2.jpg

http://www.zhp.gdynia.pl/2.jpg

http://host.businessweek.com/2.jpg

http://packages.debian.or.jp/2.jpg

http://www.math.kobe-u.ac.jp/2.jpg

http://www.k2kapital.com/2.jpg

http://www.tanzen-in-sh.de/2.jpg

http://www.wapf.com/2.jpg

http://www.hgrstrailer.com/2.jpg

http://www.forbes.com/2.jpg

http://www.oshweb.com/2.jpg

http://www.rumbgeo.ru/2.jpg

http://www.dicto.ru/2.jpg

http://www.busheron.ru/2.jpg

http://www.omnicom.ru/2.jpg

http://www.teleline.ru/2.jpg

http://www.dynex.ru/2.jpg

http://www.gamma.vyborg.ru/2.jpg

http://nominal.kaliningrad.ru/2.jpg

http://www.baltmatours.com/2.jpg

http://www.interfoodtd.ru/2.jpg

http://www.baltnet.ru/2.jpg

http://www.neprifan.ru/2.jpg

http://photo.gornet.ru/2.jpg

http://www.aktor.ru/2.jpg

http://catalog.zelnet.ru/2.jpg

http://www.sdsauto.ru/2.jpg

http://www.gradinter.ru/2.jpg

http://www.avant.ru/2.jpg

http://www.porsa.ru/2.jpg

http://www.taom-clan.de/2.jpg

http://www.perfectjewel.com/2.jpg

http://www.vrack.net/2.jpg

http://www.netradar.com/2.jpg

http://www.pgipearls.com/2.jpg

http://www.vconsole.net/2.jpg

http://www.ccbootcamp.com/2.jpg

http://host23.ipowerweb.com/2.jpg

http://www.timelessimages.com/2.jpg

http://www.peterstar.ru/2.jpg

http://www.5100.ru/2.jpg

http://www.gin.ru/2.jpg

http://www.rweb.ru/2.jpg

http://www.metacenter.ru/2.jpg

http://www.biysk.ru/2.jpg

http://www.free-time.ru/2.jpg

http://www.rastt.ru/2.jpg

http://www.chelny.ru/2.jpg

http://www.chat4adult.com/2.jpg

http://www.landofcash.net/2.jpg

http://relay.great.ru/2.jpg

http://www.kefaloniaresorts.com/2.jpg

http://www.epski.gr/2.jpg

http://www.myrtoscorp.com/2.jpg

http://www.aphel.de/2.jpg

http://www.intellect.lvc/2.jpg

http://www.abcdesign.ru/2.jpg

C、尝试在以下扩展名文件中搜索邮件地址：

.adb

.asp

.cfg

.cgi

.dbx

.dhtm

.eml

.htm

.jsp

.mbx

.mdx

.mht

.mmf

.msg

.nch

.ods

.oft

.php

.pl

.sht

.shtm

.stm

.tbb

.txt

.uin

.wab

.wsh

.xls

.xml

D、如果邮件地址含有以下字符，则不会发送：

@avp.

@foo

@iana

@messagelab

@microsoft

abuse

admin

anyone@

bsd

bugs@

cafee

certific

contract@

feste

free-av

f-secur

gold-certs@

google

help@

icrosoft

info@

kasp

linux

listserv

local

news

nobody@

noone@

noreply

ntivi

panda

pgp

postmaster@

rating@

root@

samples

sopho

spam

support

unix

update

winrar

winzip

E、发送病毒文件

内容为：

New price

附件名为：

08_price.zip

new__price.zip

new_price.zip

newprice.zip

price.zip

price_08.zip

price_new.zip

price2.zip

F、开启 TCP80 UDP80 作为后门

G、尝试将自身复制到每个文件夹内，文件名可能为以下之一：

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

技术特点：

A、将自身复制到：

%System%WINdirect.exe

B、生成以下文件：

%System%\_dll.exe (11776Bytes)

在注册表主键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

添加如下键值：

"win_upd2.exe"="%System%WINdirect.exe"

C、从网上下载病毒

D、将自身复制到：

%SystemRoot%WINDLL.EXE

%SystemRoot%WINDLL.EXEOPEN

%SystemRoot%WINDLL.EXEOPENOPEN

E、在注册表主键

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

添加

"erthgdr" = "%System%windll.exe"

F、创建如下互斥体阻止NetSky运行

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

G、尝试在注册表主键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

删除如下键值：

"9XHtProtect"

"Antivirus"

"EasyAV"

"FirewallSvr"

"HtProtect"

"ICQ Net"

"ICQNet"

"Jammer2nd"

"KasperskyAVEng"

"MsInfo"

"My AV"

"NetDy"

"Norton Antivirus AV"

"PandaAVEngine"

"SkynetsRevenge"

"Special Firewall Service"

"SysMonXP"

"Tiny AV"

"Zone Labs Client Ex"

"service"

H、创建以下注册表键：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRu1n

解决方案:

·请使用金山毒霸2004年8月10日的病毒库可完全处理该病毒；

·企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭；

·开启金山毒霸病毒防火墙可防止病毒入侵。

安全小贴士：

A、养成良好的安全习惯。只有不轻易打开即时通讯工具传来的网址、不随便打开来历不明的邮件及附件、不到不安全的网站下载可执行程序、不要执行从 Internet 下载后未经杀毒处理的软件等，才能确保您系统的安全。

B、经常升级系统补丁。好多网络病毒是通过系统漏洞进行传播的，已出现的重大病毒如：冲击波、震荡波等，都是利用了系统漏洞，所以请您定期到微软网站下载最新的安全补丁，及时补住您系统的漏洞。

C、使用较为复杂的密码保护。有许多网络病毒通过弱密码攻击用户机器，也就是通过猜测用户机器密码的方式攻击系统，因此使用复杂的密码，将会大大提高计算机的安全系数。