名稱
相關資料
病毒信息:病毒名稱: Worm.Bagle.ao
中文名稱: 惡鷹變種AO
威脅級別: 二級
病毒別名: I-Worm.Bagle.ao【AVP】
病毒類型: 郵件蠕蟲、漏洞蠕蟲、黑客、後門
病毒類型: 蠕蟲、木馬
受影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
破壞方式:
A、使用自帶的SMTP引擎大量傳送病毒郵件,浪費大量網路資源,並可導致中小型郵件伺服器極不
穩定;
B、中止被感染系統中的大量安全軟體,使系統安全性下降;
C、安裝木馬,木馬下載病毒;
D、在被感染的機器上開後門連線埠TCP 80和UDP 80,該連線埠可被利用轉發郵件;
E、通過P2P軟體及區域網路進行傳播。
發作現象:
A、結束以下安全相關進程:
ATUPDATER.EXE
aupdate.exe
AUTODOWN.EXE
AUTOTRACE.EXE
autoupdate.exe
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
luall.exe
MCupdate.exe
NUPGRADE.EXE
outpost.exe
UPDATE.EXE
B、從以下網站下載一個檔案到%SystemRoot%\_re_file.exe,並執行
allianzsp.sk
coolweb.psg.sk
cryofthespirit.com
dollypop.com
execpage.com
helpdemos.com
helpingyouth.org
jamesbronner.com
koti.pl
miracle.v6.cz
mountainwings.com
mountainwings4.com
naturalpros.com
oracal.pl
shock.evernet.com.pl
SportLine.go.ro
stroipolymer.ru
theonlineword.com
virtualchurch.com
visionforsouls.org
wingsoverlife.com
www.1800thewoman.com
www.1944.pl
www.45partsdepot.com
www.7pe.friko.pl
www.air-computers.com.ar
www.ametist.spb.ru
www.apodis.pl
www.arrasy.pl
www.arthurspeaks.com
www.astermed.pl
www.atomique.pl
www.atw.hu
www.avatar.ee
www.avers.com.pl
www.baltexpo.spb.ru
www.bomart.cz
www.bravo.gliwice.pl
www.bronnerbros.com
www.buycare.com
www.cumparacd.go.ro
www.da-rom.co.il
www.domu.net
www.eastandard.co.ke
www.elblu.republika.pl
www.elcorsy.com
www.elite-style.com
www.enduser1.fast.net
www.enitex.by
www.enitex-m.by
www.eris.pl
www.europharm.pl
www.extreme-racing.lg.ua
www.fotel.pl
www.fotolab.sk
www.frater.hu
www.gardameditech.com
www.generex.de
www.goldgates.com
www.goodboy.dem.ru
www.hards.pl
www.healthcometh.com
www.holz-studio.at
www.ibplus.sk
www.icpnet.pl
www.icpnet.pl
www.inlan.sk
www.jamesbronner.com
www.jbplus.cz
www.justmatchit.com
www.kubtelecom.ru
www.kuda.com.ua
www.lacittadifiorenzuola.it
www.lotusdog.net
www.ltvo.spb.ru
www.master.pl
www.members.aon.at
www.moteplassen1.com
www.mountainwings2.com
www.multifoto.sk
www.nadodrze.pl
www.nairobiwebspace.com
www.nameitright.com
www.nardo.bbe.pl
www.netland.gda.pl
www.netta.pl
www.nikola.piwko.pl
www.ntrlab.com
www.nustep.sk
www.octava.pl
www.odevnictvo.sk
www.oftza.friko.pl
www.oktbroiler.ru
www.online40.com
www.online50.com
www.oto.lv
www.pancoopzsv.co.yu
www.pay5495.com
www.pc-hard.com.ua
www.perfect-beauty.at
www.pharmag.pl
www.polsl.katowice.pl
www.prophetcollins.com
www.propi.cz
www.pursuit.rv.ua
www.pyrlandia-boogie.pl
www.quatro.sk
www.r-bazar.ru
www.roszkowski.pl
www.silvic.ro
www.sincron.go.ro
www.skylive.pl
www.smgkrc.pl
www.soulring.com
www.star-max.it
www.sunbud.com.pl
www.swez.net
www.system5electronics.com
www.tcvwebtv.com.ar
www.thewoman.com
www.tivis.cz
www.ukpl.pl
www.vacation-network.net
www.wyspian.iap.pl
www.zasada-rowery.pl
C、嘗試在以下擴展名檔案中搜尋郵件地址:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml。
D、病毒傳送的郵件附屬檔案為fotos.zip。
技術特點:
A、在註冊表主鍵"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n"下添加如下鍵值:"erthgdr"=""%System%\windll.exe"
B、在"%SYSTEM%"目錄下,添加如下檔案:"windll.exe"
C、在"%SYSTEM%"目錄下,添加如下檔案:"windll.exeopen"
D、在"%SYSTEM%"目錄下,添加如下檔案:"windll.exeopenopen"
E、創建以下互斥體來防止netsky及其變種的感染
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
【SkyNet.cz】SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO】xX|-S-k-y-N-e-t-|Xx【Oo-_
F、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
與HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service
G、複製自身到包含"shar"字元串的目錄下,病毒檔案名稱可能為以下之一:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
H、在系統目錄下創建檔案
Doriot.exe
Gdqfw.exe (該EXE其實為一個DLL檔案)
I、在註冊表項HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
與HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下增加值
"wersds" = "%System%\doriot.exe"
J、把Gdqfw.exe注入到Explorer.exe進程中
K、停止以下服務,並把啟動類型改為"禁止"
Windows XP Service Pack 2為: Windows Firewall/Internet Connection Sharing (ICS)
Windows XP Service Pack 1 及以前的為:Internet Connection Firewall (ICF)
/ Internet Connection Sharing (ICS)
Windows 2000為:Internet Connection Sharing (ICS)
解決方案:
A、請使用金山毒霸2004年9月03日的病毒庫可完全處理該病毒;
B、企業級用戶請使用金山毒霸網路版來徹底防範該病毒的侵襲;
C、開啟金山毒霸病毒防火牆可防止病毒入侵。
安全小貼士:
A、養成良好的安全習慣。只有不輕易打開即時通訊工具傳來的網址、不隨便打開來歷不明的郵件
及附屬檔案、不到不安全的網站下載可執行程式、不要執行從 Internet 下載後未經防毒處理的軟
件等,才能確保您系統的安全。
B、經常升級系統補丁。好多網路病毒是通過系統漏洞進行傳播的,已出現的重大病毒如:衝擊波
、震盪波等,都是利用了系統漏洞,所以請您定期到微軟網站下載最新的安全補丁,及時補住
您系統的漏洞。
C、使用較為複雜的密碼保護。有許多網路病毒通過弱密碼攻擊用戶機器,也就是通過猜測用戶機
器密碼的方式攻擊系統,因此使用複雜的密碼,將會大大提高計算機的安全係數。
