新华网天津7月25日电（记者张建新）国家计算机病毒应急处理中心经监测发现“贝革热”病毒在近期出现了变种Worm_Bbeagle.AI，近期传播较为广泛的仍然是电子邮件蠕虫病毒。

　　病毒名称：“贝革热”变种（Worm_Bbeagle.AI）

　　其它命名：Win32.Bagle.AI（CA）Worm.Beagle.ai（金山）WORM_BAGLE.AH（Trend）Win32/Bagle.AH.WormI-Worm.Bagle.ai（Kaspersky）W32/Bagle.ai@MM（McAfee）W32.Beagle.AG@mm（Symantec）Worm.Bbeagle.ao（瑞星）W32/Bagle-AI（Sophos）

　　病毒类型：蠕虫

　　感染系统：Windows 95/98/Me/NT/2000/XP/2003

　　病毒特性：

　　病毒以染毒邮件的附件形式到达，需要用户手工运行才能发作和传播。病毒附件可能是一个带有口令的.ZIP文件，其就在邮件之中，或者是扩展名为.EXE，.SCR，.COM或.CPL的文件。提醒用户遇到此类邮件不要打开，应立即删除。病毒运行后在系统文件夹下生成多个病毒文件，修改注册表，以达到自启动的目的。另外，病毒可通过网络共享进行传播，终止一些安全相关的软件的运行，同时具有后门功能。

　　1、生成病毒文件

　　该病毒运行后可常驻内存，并在%system%文件夹中生成多个自身拷贝，名称如下：winxp.exewinxp.exeopenwinxp.exeopenopenwinxp.exeopenopenopenwinxp.exeopenopenopenopen

　　（其中，%System%在Windows 95/98/Me下为C:\Windows\System，在WindowsNT/2000下为C:\Winnt\System32，在WindowsXP下为 C:\Windows\System32）

　　2、修改注册表

　　病毒修改注册表，以达到随系统启动而自动运行的目的，在

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建：

　　key = %System%\winxp.exe

　　3、删除注册表键值

　　病毒从注册表的以下目录中删除一些包含特定字符的键值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　包含的特定字符如下：9XHtProtect Antivirus EasyAV FirewallSvr HtProtectICQNet ICQNet Jammer2nd KasperskyAVEng MsInfo My AVNetDyNortonAntivirus AV PandaAVEngine service SkynetsRevengeSpecialFirewall Service SysMonXP Tiny AV Zone Labs Client Ex

　　4、通过电子邮件进行传播

　　病毒使用自身的SMTP引擎进行传播。病毒会从特定扩展名的文件中收集邮件地址，并会略过含有特定字符串的邮件地址。

　　病毒发送的邮件格式如下：

　　主题：

　　Re:

　　正文：（为下列之一）>foto3 and MP3>fotogalaryandMusic>fotoinfo>Lovelyanimals>Animals>Predators>Thesnake>Screen and Music

　　附件：（为下列之一）Cat Cool_MP3 Dog Doll FishGarry MP3Music_MP3New_MP3_Player

　　邮件附件可使用如下的扩展名：exe scr com cpl zip （附件的扩展名为.ZIP时，附件带有保护）

　　5、通过共享传播

　　在利用网络共享进行传播方面，病毒会在名称中含有shar字符串的文件夹中生成以文件名特定命名的自身拷贝。名称可能为下列之一：ACDSee9.exeAdobe Photoshop 9 full.exe Ahead Nero 7.exe KasperskyAntivirus 5.0KAV 5.0 Matrix 3 Revolution English Subtitles.exeMicrosoft Office2003 Crack, Working!.exe Microsoft Office XPworking Crack,Keygen.exeMicrosoft Windows XP, WinXP Crack, workingKeygen.exeOpera 8 New!.exe Porno pics arhive, xxx.exe PornoScreensaver.scrPorno, sex, oral, anal cool,awesome!!.exeSerials.txt.exe WinAmp 5Pro Keygen Crack Update.exe WinAmp 6New!.exe Windown Longhorn BetaLeak.exe Windows Sourcecodeupdate.doc.exe XXX hardcoreimages.exe

　　6、后门功能

　　病毒具有后门能力。病毒可打开TCP和UDP的任意端口以侦听发自远程用户的命令。

　　7、其它

　　病毒在传播时间上给自身做了限制，当系统日期为2006年5月5日或以后时，病毒会终止自身的运行，并会删除其在注册表中创建的自启动项，但其生成的病毒拷贝仍残留在系统内，不会被删除。

　　清除该病毒的建议：

　　由于该病毒在传播时间上给自身做了限制，所以可先将系统日期修改为2006年5月5日以后，在进行杀毒工作。

　　1、终止病毒进程

　　在Windows9x/ME系统，同时按下CTRL+ALT+DELETE

　　在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC

　　选择任务管理器--〉进程，选中正在运行的病毒进程，并终止其运行。

　　2、注册表的恢复

　　点击开始--〉运行，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除面板右侧的key= %System%\winxp.exe

　　3、删除病毒文件

　　点击开始--〉查找--〉文件和文件夹，查找winxp.exe、winxp.exeopen、winxp.exeopenopen、winxp.exeopenopenopen、winxp.exeopenopenopenopen，将找到的文件删除。

　　4、运行杀毒软件对系统进行全面的病毒查杀。