Email-Worm.Win32.Bagz.f

病毒名称： Email-Worm.Win32.Bagz.f

病毒类型： 病毒邮件

文件 MD5： 94E7E121E1116DC600E4F671228FC0D3

公开范围： 完全公开

危害等级： 中

文件长度： 29,117 字节

感染系统： windows 98 及以上版本

开发工具： Microsoft Visual C++ 5.0

加壳类型： UPX

命名对照： Symentec[W32.Bagz.F@mm]

Mcafee[W32/Bagz!dload]

病毒描述：

该病毒属邮件蠕虫类，病毒主要通过发送病毒邮件来传播，病毒首次运行后会复制原病毒副本到%System%目录下，并修改注册表文件，病毒还会修改hosts文件，阻止用户访问某些反病毒及安全类网站，病毒通过搜索感染主机的某些扩展名的文件，来获取其中的邮件地址，当搜索到的邮件地址中包含某些字符时则不会发送，病毒邮件中的邮件标题，主体信息从列表中随即选择，其中病毒附件为双扩展名。该病毒对用户有一定的危害。

行为分析：

1、病毒运行后会复制自身到：

%System%sysinfo32.exe

%System%race32.exe

%System%sqlssl.doc.exe

2、修改注册表文件，创建服务：

HKEY_LOCAL_METHINESystemCurrentControlSetServicesALEXORA

服务名：Windows Secure SS

3、病毒查找以下扩展名的文件，获取其中的邮件地址：

TBB

tbb

TBI

tbi

DBX

dbx

HTM

htm

TXT

txt

当搜索到的邮件地址中包含以下字符，则不会发送：

@avp

@foo

@iana

@messagelab

@microsoft

contact@

contract@

feste

free-av

f-secur

gold-

gold-certs@

google

help@

hostmaster@

icrosoft

info@

kasp

abuse

admin

administrator@

all@

anyone@

linux

listserv

local

netadmin@

news

nobody@

noone@

noreply

ntivi

oocies

panda

pgp

postmaster@

bsd

bugs@

cafee

certific

rating@

root@

samples

sopho

spam

support

support@

unix

update

webmaster@

winrar

winzip

certs@

病毒邮件的主体可能为：

Message body (chosen at random from the list below):

Hi

Did you get the previous document I attached for you?

I resent it in this email just in case, because I really need you to check it out asap.

Best Regards

Hi

I made a mistake and forgot to click attach on the previous email I sent you.

Please give me your opinion on this opportunity when you get a chance.

Best Regards

Hi

I was supposed to send you this document yesterday.

Sorry for the delay, please forward this to your family if possible.

It contains important info for both of you.

Hi

Sorry, I forgot to send an important document to you in that last email. I had an important phone call.

Please checkout attached doc file when you have a moment.

Best Regards

病毒附件有双扩展名，

about.doc.exe

admin.doc .exe

archivator.doc.exe

archives.doc.exe

ataches.doc.exe

backup.doc.exe

docs.doc .exe

documentation.doc.exe

save.doc.exe

sqlssl.doc.exe

help.doc.exe

inbox.doc.exe

manual.doc.exe

outbox.doc .exe

payment.doc.exe

photos.doc .exe

rar.doc.exe

readme.doc.exe

zip.doc.exe

修改系统的 "%System%driversetchosts" ，在hosts文件中加入以下内容，阻止用户访问这些网站：

127.0.0.1 ad.doubleclick.net

127.0.0.1 ad.fastclick.net

127.0.0.1 ads.fastclick.net

127.0.0.1 ar.atwola.com

127.0.0.1 atdmt.com

127.0.0.1 avp.ch

127.0.0.1 avp.com

……

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%System%sysinfo32.exe

%System%race32.exe

%System%sqlssl.doc.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINESystemCurrentControlSetServicesALEXORA

服务名：Windows Secure SS

(4) 修改%System%driversetchosts文件，删除多余的地址。