Email-Worm.Win32.Bagle.cj

请输入要查询的词条内容:

Email-Worm.Win32.Bagle.cj

该病毒属邮件蠕虫类,属白鸽病毒家族的一个变种,病毒盗用Windows Xp下文本文档的图标,病毒第一次运行后则会打开notepad.exe,达到欺骗用户的目的。病毒运行后会复制原病毒副本到%system%\\svc23.exe,修改注册表文件,病毒还会创建几个互斥体,防止该变种的多个副本同时运行。连接网络,尝试下载病毒相关文件到本地运行。病毒主要通过搜索感染系统中某些扩展名的文件,获取其中的邮件地址,来发送病毒邮件,该病毒对用户有一定的危害。

Email-Worm.Win32.Bagle.cj

病毒名称: Email-Worm.Win32.Bagle.cj

中文名称: 白鸽变种

病毒类型: 邮件蠕虫

文件 MD5: 1DD3808BF9BFBC234B3E18382E028825

公开范围: 完全公开

危害等级: 中

文件长度: 9,216 字节

感染系统: windows 98 以上版本

开发工具: Microsoft Visual C++

加壳类型: 未知壳

命名对照: Symentec[Trojan.Lodav.k]

Mcafee[W32/Bagle.gen]

行为分析:

1、复制原病毒体到:%system%\\svc23.exe

2、修改注册表文件:

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\CurrentVersion\\Ru1n

键值:字串:"erthgdr2"="%SYSTEM%\\svc23.exe"

3.创建如下互斥体,防止该变种的多个副本同时运行:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

''D''r''o''p''p''e''d''S''k''y''N''e''t''

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

4、偿试从如下网址下载文件保存到WINDOWS目录,名为"eml.exe":

http://carn****acting.com/2/web.php

http://fpco****c.org/images/web.php

http://clic****khare.com/images/web.php

http://amer****ikansk-bulldog.dk/images/web.php

http://goto****.mk.ua/images/web.php

http://golo****smira.com/test/web.php

http://even****tpeopleforyou.com/help/web.php

http://phde****nmark.dk/images/web.php

http://game****spy.cz/images/web.php

http://fyey****e.com/lyra/web.php

http://find****ingmodels.net/images/web.php

http://duna****jec.zakliczyn.pnth.net/dunajec/web.php

http://fibe****rfeed.com/images/web.php

http://fibe****rdesign.co.uk/images/web.php

http://liga****pichangueras.cl/images/web.php

http://fami****liasmaltratadas.com/images/web.php

http://falc****onframingco.com/images/web.php

http://repr****esentacion4380.net/images/web.php

http://eksh****rine.com/images/web.php

http://drea****mdecor.com.pl/images/web.php

http://down****withthesickness.com/images/web.php

http://dore****lvis.com/images/web.php

http://doel****ker-torbau.de/images/web.php

http://dire****cteenhuis.nl/images/web.php

http://dggr****aphicsonline.com/images/web.php

http://esso****nline.us/images/web.php

http://crea****cionesartisticasandaluzas.com/bovedas/web.php

http://cptn****a.com/2/web.php

5、偿试从以下网址下载文件并保存到系统目录,而后运行,并重名为:re_file.exe

http://***1/s1.php

http://***2/s3.php

6、病毒通过发送含有病毒附件的邮件进行传播,附件名可能为:

Increase_in_the_tax.zip

Taxes.zip

The_taxation.zip

The_reporting_of_taxes.zip

To_reduce_the_tax.zip

Work and taxes.zip

当病毒邮件地址中包含如下字符串时则不会发送邮件:

@eerswqe

@derewrdgrs

@microsoft

rating@

f-secur

news

update

anyone@

kasp

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程:svc23.exe

(2) 删除病毒文件

%system%\\svc23.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Ru1n

键值:字串:"erthgdr2"="%SYSTEM%\\svc23.exe"

相关分词: Email-Worm Email Worm Win 32 Bagle cj
电脑版 | 手机版 | 计算器