Email-Worm.Win32.Bagle.cj
Email-Worm.Win32.Bagle.cj
该病毒属邮件蠕虫类,属白鸽病毒家族的一个变种,病毒盗用Windows Xp下文本文档的图标,病毒第一次运行后则会打开notepad.exe,达到欺骗用户的目的。病毒运行后会复制原病毒副本到%system%\\svc23.exe,修改注册表文件,病毒还会创建几个互斥体,防止该变种的多个副本同时运行。连接网络,尝试下载病毒相关文件到本地运行。病毒主要通过搜索感染系统中某些扩展名的文件,获取其中的邮件地址,来发送病毒邮件,该病毒对用户有一定的危害。
Email-Worm.Win32.Bagle.cj
病毒名称: Email-Worm.Win32.Bagle.cj
中文名称: 白鸽变种
病毒类型: 邮件蠕虫
文件 MD5: 1DD3808BF9BFBC234B3E18382E028825
公开范围: 完全公开
危害等级: 中
文件长度: 9,216 字节
感染系统: windows 98 以上版本
开发工具: Microsoft Visual C++
加壳类型: 未知壳
命名对照: Symentec[Trojan.Lodav.k]
Mcafee[W32/Bagle.gen]
行为分析:
1、复制原病毒体到:%system%\\svc23.exe
2、修改注册表文件:
HKEY_CURRENT_USER\\Software\\Microsoft
\\Windows\\CurrentVersion\\Ru1n
键值:字串:"erthgdr2"="%SYSTEM%\\svc23.exe"
3.创建如下互斥体,防止该变种的多个副本同时运行:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
''D''r''o''p''p''e''d''S''k''y''N''e''t''
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
4、偿试从如下网址下载文件保存到WINDOWS目录,名为"eml.exe":
http://carn****acting.com/2/web.php
http://fpco****c.org/images/web.php
http://clic****khare.com/images/web.php
http://amer****ikansk-bulldog.dk/images/web.php
http://goto****.mk.ua/images/web.php
http://golo****smira.com/test/web.php
http://even****tpeopleforyou.com/help/web.php
http://phde****nmark.dk/images/web.php
http://game****spy.cz/images/web.php
http://fyey****e.com/lyra/web.php
http://find****ingmodels.net/images/web.php
http://duna****jec.zakliczyn.pnth.net/dunajec/web.php
http://fibe****rfeed.com/images/web.php
http://fibe****rdesign.co.uk/images/web.php
http://liga****pichangueras.cl/images/web.php
http://fami****liasmaltratadas.com/images/web.php
http://falc****onframingco.com/images/web.php
http://repr****esentacion4380.net/images/web.php
http://eksh****rine.com/images/web.php
http://drea****mdecor.com.pl/images/web.php
http://down****withthesickness.com/images/web.php
http://dore****lvis.com/images/web.php
http://doel****ker-torbau.de/images/web.php
http://dire****cteenhuis.nl/images/web.php
http://dggr****aphicsonline.com/images/web.php
http://esso****nline.us/images/web.php
http://crea****cionesartisticasandaluzas.com/bovedas/web.php
http://cptn****a.com/2/web.php
5、偿试从以下网址下载文件并保存到系统目录,而后运行,并重名为:re_file.exe
http://***1/s1.php
http://***2/s3.php
6、病毒通过发送含有病毒附件的邮件进行传播,附件名可能为:
Increase_in_the_tax.zip
Taxes.zip
The_taxation.zip
The_reporting_of_taxes.zip
To_reduce_the_tax.zip
Work and taxes.zip
当病毒邮件地址中包含如下字符串时则不会发送邮件:
@eerswqe
@derewrdgrs
@microsoft
rating@
f-secur
news
update
anyone@
kasp
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程:svc23.exe
(2) 删除病毒文件
%system%\\svc23.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
\\CurrentVersion\\Ru1n
键值:字串:"erthgdr2"="%SYSTEM%\\svc23.exe"