Email-Worm.Win32.Bagle.fj
Email-Worm.Win32.Bagle.fj
病毒属邮件蠕虫类,为白鸽病毒家族最新变种,病毒运行后会复制自身到%System%\\sysformat.exe,并释放三个备份文件,而后修改注册表文件,添加到启动项,修改注册表中安全配置,并新建子键来标致该系统已被感染。创建互斥体,保证每次只有一个病毒副本运行。病毒还会修改“%System%\\drivers\\etc\\hosts”文件,阻止用户访问一些反病毒及安全网站。该病毒对用户有一定危害。
病毒特征
病毒名称: Email-Worm.Win32.Bagle.fj
中文名称: Bagle.fj变种
病毒类型: 邮件蠕虫
文件 MD5: A3E27490DE9FCCD945FDA6D6E4698823
公开范围: 完全公开
危害等级: 中
文件长度: 18,906 字节
感染系统: Windows 98 及以上版本
开发工具: Microsoft Visual C++
加壳类型: yoda''s Crypter
命名对照: Symentec[Trojan.Lodav.w]
Mcafee[W32/Bagle.gen]
行为分析:
1、病毒运行后复制自身到:
%System%\\sysformat.exe
%System%\\sysformat.exeopen
%System%\\sysformat.exeopenopen
%System%\\sysformat.exeopenopenopenopen
2、创建互斥体,
使得每次只有一个病毒副本运行:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
3、修改注册表文件:
添加到启动项:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
\\CurrentVersion\\Run
键值:字串:"sysformat" = "%System%\\sysformat.exe"
新建键值,表示该系统已被感染:
HKEY_CURRENT_USER\\Software\\Microsoft\\Params
键值:字串:"FirstRun" = "01"
修改系统安全配置:
HKEY_LOCAL_METHINE\\System\\CurrentControlSet
\\Services\\SharedAccess
键值:字串:"Start" = "4"
4、盗用文件
病毒盗用Windows xp下.txt文件的图标,病毒第一次运行后会打开记事本。
5、传播病毒
病毒主要通过发送含有病毒附件的电子邮件传播:
病毒通过查找以下扩展名的文件来获取其中的邮件地址:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
当邮件地址中包含以下字符串时,病毒则不会发送邮件:
@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
……
病毒邮件的主题可能为:
Delivery by mail
Delivery service mail
February price
Is delivered mail
price
Registration is accepted
You are made active
病毒邮件的附件名可能为:
21_price.zip
February_price.zip
guupd02.zip
Jol03.zip
new_price.zip
price.zip
pricelist.zip
pricelst.zip
siupd02.zip
upd02.zip
viupd02.zip
wsd01.zip
zupd02.zip
6、利用p2p传播
该病毒也可以利用P2P软件来传播,通过搜索并复制原病毒副本到含有“shar”字符串的文件夹中,其中病毒名可能为:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe
1.exe
10.exe
2.exe
3.exe
4.exe
……
7、终止
遍历当前进程,当查找到以下进程名时,便将其终止:
alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
8、修改文件
病毒还会修改“%System%\\drivers\\etc\\hosts”文件,在hosts文件中添加如下内容:
127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
……
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 service1.symantec.com
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒释放的这几个文件:
%System%\\sysformat.exe
%System%\\sysformat.exeopen
%System%\\sysformat.exeopenopen
%System%\\sysformat.exeopenopenopenopen
(3) 恢复病毒修改的注册表项目,删除以下键值:
添加到启动项:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
\\CurrentVersion\\Run
键值:字串:"sysformat" = "%System%\\sysformat.exe"
新建键值,表示该系统已被感染:
HKEY_CURRENT_USER\\Software\\Microsoft\\Params
键值:字串:"FirstRun" = "01"
修改系统安全配置:
HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services
\\SharedAccess
键值:字串:"Start" = "4"
(4) 修改“%System%\\drivers\\etc\\hosts”文件,删除新增的地址列表。