Email-Worm.Win32.Bagle.ch

病毒名称： Email-Worm.Win32.Bagle.ch

中文名称： 白鸽变种

病毒类型： 邮件蠕虫

文件 MD5： 04EA82E70D45B65F7B7AE204A3236CCE

公开范围： 完全公开

危害等级： 中

文件长度：36,352 字节

感染系统： windows 98 以上版本

开发工具： Microsoft Visual C++

加壳类型： ACProtect

命名对照： Symentec[Trojan.Lodear.x]

Mcafee[W32/Bagle.gen]

病毒描述：

该病毒属邮件蠕虫类，病毒主要通过发送含有病毒附件的邮件传播。病毒的图标具有一定的欺骗性，病毒盗用Windows Xp下.txt文件图标，诱骗用户浏览。病毒运行后首先会打开notepad.exe程序，而后修改注册表文件，添加病毒副本到启动项等，修改其中安全相关的配置，降低系统的安全性能，病毒还会尝试终止某些反病毒软件及安全软件的进程，修改"%System%driversetchosts"文件。病毒还会尝试下载病毒相关文件到感染主机上运行。该病毒对用户有一定的危害。

行为分析：

1、病毒运行后复制自身到：

%System%winshost.exe

%System%wiwshost.exe

2、修改注册表文件，达到随系统启动的目的：

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRun

键值：字串： "winshost.exe"="%System%winshost.exe"

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串： "winshost.exe"="%System%winshost.exe"

3、尝试终止某些反病毒软件及安全软件的进程

4、通过遍历注册表文件，尝试删除某些反病毒及安全软件的相关键值，以达到保护自身的目的：

HKEY_LOCAL_METHINESOFTWAREMcAfee

HKEY_LOCAL_METHINESOFTWAREKasperskyLab

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunccApp

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunKAV50

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunAPVXDWIN

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunavg7_emc

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunNAV CfgWiz

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunSSC_UserPrompt

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunMcAfee Guardian

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRunSymantecNetDriver Monitor

HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersion

RunMcAfee.InstantUpdate.Monitor

......

5、病毒运行后首先会打开notepad.exe程序，借以欺骗用户。

6、病毒体内包含一个url地址列表，病毒运行后会尝试下载这些病毒相关文件到感染住进上运行。

7、修改%System%driversetchosts文件，只留下以下字符串：

127.0.0.1 localhost

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%System%winshost.exe

%System%wiwshost.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionRun

键值：字串： "winshost.exe"="%System%winshost.exe"

HKEY_LOCAL_METHINESoftwareMicrosoft

WindowsCurrentVersionRun

键值：字串： "winshost.exe"="%System%winshost.exe"