计算机病毒“贝革热”在近期又有新变种 |
---|
http://www.sina.com.cn 2004年07月25日20:35 新华网 |
新华网天津7月25日电(记者张建新)国家计算机病毒应急处理中心经监测发现“贝革热”病毒在近期出现了变种Worm_Bbeagle.AI,近期传播较为广泛的仍然是电子邮件蠕虫病毒。 病毒名称:“贝革热”变种(Worm_Bbeagle.AI) 其它命名:Win32.Bagle.AI(CA)Worm.Beagle.ai(金山)WORM_BAGLE.AH(Trend)Win32/Bagle.AH.WormI-Worm.Bagle.ai(Kaspersky)W32/Bagle.ai@MM(McAfee)W32.Beagle.AG@mm(Symantec)Worm.Bbeagle.ao(瑞星)W32/Bagle-AI(Sophos) 病毒类型:蠕虫 感染系统:Windows 95/98/Me/NT/2000/XP/2003 病毒特性: 病毒以染毒邮件的附件形式到达,需要用户手工运行才能发作和传播。病毒附件可能是一个带有口令的.ZIP文件,其就在邮件之中,或者是扩展名为.EXE,.SCR,.COM或.CPL的文件。提醒用户遇到此类邮件不要打开,应立即删除。病毒运行后在系统文件夹下生成多个病毒文件,修改注册表,以达到自启动的目的。另外,病毒可通过网络共享进行传播,终止一些安全相关的软件的运行,同时具有后门功能。 1、生成病毒文件 该病毒运行后可常驻内存,并在%system%文件夹中生成多个自身拷贝,名称如下:winxp.exewinxp.exeopenwinxp.exeopenopenwinxp.exeopenopenopenwinxp.exeopenopenopenopen (其中,%System%在Windows 95/98/Me下为C:\Windows\System,在WindowsNT/2000下为C:\Winnt\System32,在WindowsXP下为 C:\Windows\System32) 2、修改注册表 病毒修改注册表,以达到随系统启动而自动运行的目的,在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建: key = %System%\winxp.exe 3、删除注册表键值 病毒从注册表的以下目录中删除一些包含特定字符的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 包含的特定字符如下:9XHtProtect Antivirus EasyAV FirewallSvr HtProtectICQNet ICQNet Jammer2nd KasperskyAVEng MsInfo My AVNetDyNortonAntivirus AV PandaAVEngine service SkynetsRevengeSpecialFirewall Service SysMonXP Tiny AV Zone Labs Client Ex 4、通过电子邮件进行传播 病毒使用自身的SMTP引擎进行传播。病毒会从特定扩展名的文件中收集邮件地址,并会略过含有特定字符串的邮件地址。 病毒发送的邮件格式如下: 主题: Re: 正文:(为下列之一)>foto3 and MP3>fotogalaryandMusic>fotoinfo>Lovelyanimals>Animals>Predators>Thesnake>Screen and Music 附件:(为下列之一)Cat Cool_MP3 Dog Doll FishGarry MP3Music_MP3New_MP3_Player 邮件附件可使用如下的扩展名:exe scr com cpl zip (附件的扩展名为.ZIP时,附件带有保护) 5、通过共享传播 在利用网络共享进行传播方面,病毒会在名称中含有shar字符串的文件夹中生成以文件名特定命名的自身拷贝。名称可能为下列之一:ACDSee9.exeAdobe Photoshop 9 full.exe Ahead Nero 7.exe KasperskyAntivirus 5.0KAV 5.0 Matrix 3 Revolution English Subtitles.exeMicrosoft Office2003 Crack, Working!.exe Microsoft Office XPworking Crack,Keygen.exeMicrosoft Windows XP, WinXP Crack, workingKeygen.exeOpera 8 New!.exe Porno pics arhive, xxx.exe PornoScreensaver.scrPorno, sex, oral, anal cool,awesome!!.exeSerials.txt.exe WinAmp 5Pro Keygen Crack Update.exe WinAmp 6New!.exe Windown Longhorn BetaLeak.exe Windows Sourcecodeupdate.doc.exe XXX hardcoreimages.exe 6、后门功能 病毒具有后门能力。病毒可打开TCP和UDP的任意端口以侦听发自远程用户的命令。 7、其它 病毒在传播时间上给自身做了限制,当系统日期为2006年5月5日或以后时,病毒会终止自身的运行,并会删除其在注册表中创建的自启动项,但其生成的病毒拷贝仍残留在系统内,不会被删除。 清除该病毒的建议: 由于该病毒在传播时间上给自身做了限制,所以可先将系统日期修改为2006年5月5日以后,在进行杀毒工作。 1、终止病毒进程 在Windows9x/ME系统,同时按下CTRL+ALT+DELETE 在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC 选择任务管理器--〉进程,选中正在运行的病毒进程,并终止其运行。 2、注册表的恢复 点击开始--〉运行,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,并删除面板右侧的key= %System%\winxp.exe 3、删除病毒文件 点击开始--〉查找--〉文件和文件夹,查找winxp.exe、winxp.exeopen、winxp.exeopenopen、winxp.exeopenopenopen、winxp.exeopenopenopenopen,将找到的文件删除。 4、运行杀毒软件对系统进行全面的病毒查杀。 |