病毒属邮件蠕虫类，为白鸽病毒家族最新变种，病毒运行后会复制自身到%System%\\sysformat.exe，并释放三个备份文件，而后修改注册表文件，添加到启动项，修改注册表中安全配置，并新建子键来标致该系统已被感染。创建互斥体，保证每次只有一个病毒副本运行。病毒还会修改“%System%\\drivers\\etc\\hosts”文件，阻止用户访问一些反病毒及安全网站。该病毒对用户有一定危害。

病毒特征

行为分析：(1、病毒运行后复制自身到： 2、创建互斥体， 3、修改注册表文件： 4、盗用文件 5、传播病毒 6、利用p2p传播 7、终止 8、修改文件 清除方案：)

病毒特征

病毒名称： Email-Worm.Win32.Bagle.fj

中文名称： Bagle.fj变种

病毒类型： 邮件蠕虫

文件 MD5： A3E27490DE9FCCD945FDA6D6E4698823

公开范围： 完全公开

危害等级： 中

文件长度： 18,906 字节

感染系统： Windows 98 及以上版本

开发工具： Microsoft Visual C++

加壳类型： yoda''s Crypter

命名对照： Symentec[Trojan.Lodav.w]

Mcafee[W32/Bagle.gen]

行为分析：

1、病毒运行后复制自身到：

%System%\\sysformat.exe

%System%\\sysformat.exeopen

%System%\\sysformat.exeopenopen

%System%\\sysformat.exeopenopenopenopen

2、创建互斥体，

使得每次只有一个病毒副本运行：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

3、修改注册表文件：

添加到启动项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串："sysformat" = "%System%\\sysformat.exe"

新建键值，表示该系统已被感染：

HKEY_CURRENT_USER\\Software\\Microsoft\\Params

键值：字串："FirstRun" = "01"

修改系统安全配置：

HKEY_LOCAL_METHINE\\System\\CurrentControlSet

\\Services\\SharedAccess

键值：字串："Start" = "4"

4、盗用文件

病毒盗用Windows xp下.txt文件的图标，病毒第一次运行后会打开记事本。

5、传播病毒

病毒主要通过发送含有病毒附件的电子邮件传播：

病毒通过查找以下扩展名的文件来获取其中的邮件地址：

.adb

.asp

.cfg

.cgi

.dbx

.dhtm

.eml

.htm

.jsp

.mbx

mdx

.mht

.mmf

.msg

.nch

.ods

.oft

.php

.pl

.sht

shtm

.stm

.tbb

.txt

.uin

.wab

.wsh

.xls

.xml

当邮件地址中包含以下字符串时，病毒则不会发送邮件：

@avp.

@foo

@iana

@messagelab

@microsoft

abuse

admin

anyone@

bsd

bugs@

cafee

certific

contract@

feste

free-av

f-secur

gold-certs@

google

help@

icrosoft

info@

kasp

linux

listserv

local

news

nobody@

noone@

noreply

ntivi

panda

pgp

postmaster@

rating@

root@

samples

sopho

spam

support

unix

……

病毒邮件的主题可能为：

Delivery by mail

Delivery service mail

February price

Is delivered mail

price

Registration is accepted

You are made active

病毒邮件的附件名可能为：

21_price.zip

February_price.zip

guupd02.zip

Jol03.zip

new_price.zip

price.zip

pricelist.zip

pricelst.zip

siupd02.zip

upd02.zip

viupd02.zip

wsd01.zip

zupd02.zip

6、利用p2p传播

该病毒也可以利用P2P软件来传播，通过搜索并复制原病毒副本到含有“shar”字符串的文件夹中，其中病毒名可能为：

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Matrix 3 Revolution English Subtitles.exe

Opera 8 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

XXX hardcore images.exe

1.exe

10.exe

2.exe

3.exe

4.exe

……

7、终止

遍历当前进程，当查找到以下进程名时，便将其终止：

alogserv.exe

APVXDWIN.EXE

ATUPDATER.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

Avconsol.exe

AVENGINE.EXE

AVPUPD.EXE

Avsynmgr.exe

AVWUPD32.EXE

AVXQUAR.EXE

AVXQUAR.EXE

bawindo.exe

blackd.exe

ccApp.exe

ccEvtMgr.exe

ccProxy.exe

ccPxySvc.exe

CFIAUDIT.EXE

DefWatch.exe

DRWEBUPW.EXE

ESCANH95.EXE

ESCANHNT.EXE

FIREWALL.EXE

8、修改文件

病毒还会修改“%System%\\drivers\\etc\\hosts”文件，在hosts文件中添加如下内容：

127.0.0.1 localhost

127.0.0.1 ad.doubleclick.net

127.0.0.1 ad.fastclick.net

127.0.0.1 ads.fastclick.net

127.0.0.1 ar.atwola.com

127.0.0.1 atdmt.com

127.0.0.1 avp.ch

127.0.0.1 avp.com

127.0.0.1 avp.ru

127.0.0.1 awaps.net

127.0.0.1 ftp.f-secure.com

127.0.0.1 ftp.sophos.com

127.0.0.1 go.microsoft.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 media.fastclick.net

127.0.0.1 msdn.microsoft.com

……

127.0.0.1 banner.fastclick.net

127.0.0.1 banners.fastclick.net

127.0.0.1 ca.com

127.0.0.1 click.atdmt.com

127.0.0.1 clicks.atdmt.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 engine.awaps.net

127.0.0.1 fastclick.net

127.0.0.1 f-secure.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 office.microsoft.com

127.0.0.1 phx.corporate-ir.net

127.0.0.1 secure.nai.com

127.0.0.1 service1.symantec.com

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒释放的这几个文件：

%System%\\sysformat.exe

%System%\\sysformat.exeopen

%System%\\sysformat.exeopenopen

%System%\\sysformat.exeopenopenopenopen

(3) 恢复病毒修改的注册表项目，删除以下键值：

添加到启动项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串："sysformat" = "%System%\\sysformat.exe"

新建键值，表示该系统已被感染：

HKEY_CURRENT_USER\\Software\\Microsoft\\Params

键值：字串："FirstRun" = "01"

修改系统安全配置：

HKEY_LOCAL_METHINE\\System\\CurrentControlSet\\Services

\\SharedAccess

键值：字串："Start" = "4"

(4) 修改“%System%\\drivers\\etc\\hosts”文件，删除新增的地址列表。