Email-Worm.Win32.Bagle.cj

該病毒屬郵件蠕蟲類,屬白鴿病毒家族的一個變種,病毒盜用Windows Xp下文本文檔的圖示,病毒第一次運行後則會打開notepad.exe,達到欺騙用戶的目的。病毒運行後會複製原病毒副本到%system%\svc23.exe,修改註冊表檔案,病毒還會創建幾個互斥體,防止該變種的多個副本同時運行。連線網路,嘗試下載病毒相關檔案到本地運行。病毒主要通過搜尋感染系統中某些擴展名的檔案,獲取其中的郵件地址,來傳送病毒郵件,該病毒對用戶有一定的危害。

病毒標籤

病毒名稱: Email-Worm.Win32.Bagle.cj
中文名稱: 白鴿變種
病毒類型: 郵件蠕蟲
檔案 MD5: 1DD3808BF9BFBC234B3E18382E028825
公開範圍: 完全公開
危害等級: 中
檔案長度: 9,216 位元組
感染系統: windows 98 以上版本
開發工具: Microsoft Visual C++
加殼類型: 未知殼
命名對照: Symentec[Trojan.Lodav.k]
  Mcafee[W32/Bagle.gen]

病毒描述:

該病毒屬郵件蠕蟲類,屬白鴿病毒家族的一個變種,病毒盜用Windows Xp下文本文檔的圖示,病毒第一次運行後則會打開notepad.exe,達到欺騙用戶的目的。病毒運行後會複製原病毒副本到%system%\svc23.exe,修改註冊表檔案,病毒還會創建幾個互斥體,防止該變種的多個副本同時運行。連線網路,嘗試下載病毒相關檔案到本地運行。病毒主要通過搜尋感染系統中某些擴展名的檔案,獲取其中的郵件地址,來傳送病毒郵件,該病毒對用戶有一定的危害。
行為分析:
1、複製原病毒體到:%system%\svc23.exe
2、修改註冊表檔案:
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Ru1n
鍵值:字串:"erthgdr2"="%SYSTEM%\svc23.exe"
3.創建如下互斥體,防止該變種的多個副本同時運行:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
4、償試從如下網址下載檔案保存到WINDOWS目錄,名為"eml.exe":
http://carn****acting.com/2/web.php
http://fpco****c.org/images/web.php
http://clic****khare.com/images/web.php
http://amer****ikansk-bulldog.dk/images/web.php
http://goto****.mk.ua/images/web.php
http://golo****smira.com/test/web.php
http://even****tpeopleforyou.com/help/web.php
http://phde****nmark.dk/images/web.php
http://game****spy.cz/images/web.php
http://fyey****e.com/lyra/web.php
http://find****ingmodels.net/images/web.php
http://duna****jec.zakliczyn.pnth.net/dunajec/web.php
http://fibe****rfeed.com/images/web.php
http://fibe****rdesign.co.uk/images/web.php
http://liga****pichangueras.cl/images/web.php
http://fami****liasmaltratadas.com/images/web.php
http://falc****onframingco.com/images/web.php
http://repr****esentacion4380.net/images/web.php
http://eksh****rine.com/images/web.php
http://drea****mdecor.com.pl/images/web.php
http://down****withthesickness.com/images/web.php
http://dore****lvis.com/images/web.php
http://doel****ker-torbau.de/images/web.php
http://dire****cteenhuis.nl/images/web.php
http://dggr****aphicsonline.com/images/web.php
http://esso****nline.us/images/web.php
http://crea****cionesartisticasandaluzas.com/bovedas/web.php
http://cptn****a.com/2/web.php
5、償試從以下網址下載檔案並保存到系統目錄,而後運行,並重名為:re_file.exe
http://***1/s1.php
http://***2/s3.php
6、病毒通過傳送含有病毒附屬檔案的郵件進行傳播,附屬檔案名可能為:
Increase_in_the_tax.zip
Taxes.zip
The_taxation.zip
The_reporting_of_taxes.zip
To_reduce_the_tax.zip
Work and taxes.zip
當病毒郵件地址中包含如下字元串時則不會傳送郵件:
@eerswqe
@derewrdgrs
@microsoft
rating@
f-secur
news
update
anyone@
kasp
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程:svc23.exe
(2) 刪除病毒檔案
%system%\svc23.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Ru1n
鍵值:字串:"erthgdr2"="%SYSTEM%\svc23.exe"

相關詞條

相關搜尋

熱門詞條

聯絡我們