![](http://d.aap5.com/20230211/t014d235f1cbb3c0814.webp)
该病毒通过邮件进行传播,用户运行邮件附件后,会尝试关闭计算机内的反病毒软件,并从网上下载一个后门。该蠕虫,还会在受感染的机器的文件中搜索电子邮件,并向搜索到的地址发送邮件。来自诱惑用户打开运行病毒程序。该病毒会向外发送大量的带毒邮件,严重的堵塞正零侵政入要天用户网络。建议用户开启防火墙来防止该病毒的侵入。
- 中文名称: 恶鹰变种at
- 病毒别名: I-Worm.Bagle.at[AVP]
- 病毒名称: Worm.Beagle.at
- 病毒长度: 17924
病毒概说
金山毒霸反病毒实验室紧急处理了一个传播较为广泛的恶鹰家族成员,命来自名为:"恶鹰变种AT"(Worm.Beagle.at),并紧急升级了病毒库。该变种已有部份用户不慎感染,已在互联网络制造大量360百科垃圾邮件,请广大网络用户提高警惕。
金山毒霸对该病毒已经做了紧急处理,请用户及时升级毒霸到2004年10月29日的最新病毒库。
病毒分析报告
病毒信审下重主息
病毒名称:Worm.Beagle.at
中文名称: 恶鹰变种at
病毒别名: I-Worm.Bagle.at[AVP]
病毒长度:17924
威胁级别:三级
病毒类型:蠕虫
受影响系统: WinNT/Win2000包善带飞要月使免菜变验/WinXP/Windows2003
发现时间:2004年10月29日
技术特点
1.创建以下几春济伟材亚过个来防止NetS工ky病毒运行:
M张消片领药效势刚促况uXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'财修d'S'k'y'神负切八底N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMut行歌全当宽安引村ex
AdmSk面围与台ynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
2.在被极觉确族孙京评伤感染的机器上创建以下文件:
%System%\bawin输父磁湖亲do.exe
%System%\bawindo.exeopen
%System%\ba二完矛异死团华石送季跳windo.exeopenopen
%System%\re_file.exe
3.在注角危模客怀期吗册表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中
增加"wingo"="%System%\wingo.exe"来确保自身能随计算机启动
场拉案宽物质氢初底蛋 4.从HKEY_LOCAL_MACHINE\SOFTWARE\Micr伤皮克孩育osoft\Windows\CurrentVer意校认灯远脚想饭林sion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio读都统他会合等n\Run
删除包含以下字符串的键值:
My AV
Zone Labs Client Ex
9XHtProte厚果ct
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
5.在包含"shar"字符串的目录下创建文件,文件名可能为下列字符:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
6.搜索以下列字符串为扩展名的文件来获得Email地址,并用自带的SMTP引擎发送带毒邮件
.adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml
7.病毒发送的带毒邮件具有如下特征:
发件人:伪造的
主题:
Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi
正文:
:)
:))
附件:
文件名可能为:
Price
price
Joke
扩展名可能为:
.com/.scr/.cpl
8.该病毒不会向包含以下字符串的邮件地址发送邮件
@avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
9.尝试从下列网站下载文件
www.bottombouncer.com
www.bottombouncer.com
www.anthonyflanagan.com
www.bradster.com
www.traverse.com
www.ims-i.com
www.realgps.com
www.aviation-center.de
www.gci-bln.de
www.pankration.com
www.jansenboiler.com
www.corpsite.com
www.everett.wednet.edu
www.onepositiveplace.org
www.raecoinc.com
www.wwwebad.com
www.corpsite.com
www.wwwebmaster.com
www.wwwebad.com
www.dragcar.com
www.wwwebad.com
www.oohlala-kirkland.com
www.calderwoodinn.com
www.buddyboymusic.com
www.smacgreetings.com
www.tkd2xcell.com
www.curtmarsh.com
www.dontbeaweekendparent.com
www.soloconsulting.com
www.lasermach.com
www.generationnow.net
www.flashcorp.com
www.kencorbett.com
www.FritoPie.NET
www.leonhendrix.com
www.transportation.gov.bh
www.transportation.gov.bh
www.jhaforpresident.7p.com
www.DarrkSydebaby.com
www.cntv.info
www.sugardas.lt
www.adhdtests.com
www.argontech.net
www.customloyal.com
www.ohiolimo.com
www.topko.sk
www.alupass.lu
www.sigi.lu
www.redlightpictures.com
www.irinaswelt.de
www.bueroservice-it.de
www.kranenberg.de
www.kranenberg.de
www.the-fabulous-lions.de
www.the-fabulous-lions.de
www.mongolische-renner.de
www.mongolische-renner.de
www.capri-frames.de
www.capri-frames.de
www.aimcenter.net
www.boneheadmusic.com
www.fludir.is
www.sljinc.com
www.tivogoddess.com
www.fcpages.com
www.andara.com
www.freeservers.com
www.programmierung20d 0a0.de
www.asianfestival.nl
www.aviation-center.de
www.gci-bln.de
www.mass-i.kiev.ua
www.jasnet.pl
www.atlantisteste.hpg.com.br
www.fludir.is
www.rieraquadros.com.br
www.metal.pl
www.handsforhealth.com
www.angelartsanctuary.com
www.firstnightoceancounty.org
www.chinasenfa.com
www.chinasenfa.com
www.ulpiano.org
www.gamp.pl
www.vikingpc.pl
www.woundedshepherds.com
www.cpc.adv.br
www.velocityprint.com
www.esperanzaparalafamilia.com
www.celula.com.mx
www.mexis.com
www.wecompete.com
www.vbw.info
www.gfn.org
www.aegee.org
www.deadrobot.com
www.cscliberec.cz
www.ecofotos.com.br
www.amanit.ru
www.bga-gsm.ru
www.innnewport.com
www.knicks.nl
www.srg-neuburg.de
www.mepmh.de
www.mepbisu.de
www.kradtraining.de
www.polizeimotorrad.de
www.sea.bz.it
www.uslungiarue.it
www.gcnet.ru
www.aimcenter.net
www.vandermost.de
www.vandermost.de
www.szantomierz.art.pl
www.immonaut.sk
www.eurostavba.sk
www.spadochron.pl
www.pyrlandia-boogie.pl
www.kps4parents.com
www.pipni.cz
www.selu.edu
www.travelchronic.de
www.fleigutaetscher.ch
www.irakli.org
www.oboe-online.com
www.oboe-online.com
www.pe-sh.com
www.idb-group.net
www.ceskyhosting.cz
www.ceskyhosting.cz
www.hartacorporation.com
www.glass.la
www.glass.la
www.24-7-transportation.com
www.fepese.ufsc.br
www.ellarouge.com.au
www.bbsh.org
www.boneheadmusic.com
www.sljinc.com
www.tivogoddess.com
www.fcpages.com
www.szantomierz.art.pl
www.elenalazar.com
www.ssmifc.ca
www.reliance-yachts.com
www.worest.com.ar
www.kps4parents.com
www.coolfreepages.com
www.scanex-medical.fi
www.jimvann.com
www.orari.net
www.himpsi.org
www.mtfdesign.com
www.jldr.ca
www.relocationflorida.com
www.rentalstation.com
www.approved1stmortgage.com
www.velezcourtesymanagement.com
www.sunassetholdings.com
www.compsolutionstore.com
www.uhcc.com
www.justrepublicans.com
www.pfadfinder-leobersdorf.com
www.featech.com
www.vinirforge.com
www.magicbottle.com.tw
www.giantrevenue.com
www.couponcapital.net
www.crystalrose.ca
www.crystalrose.ca
www.crystalrose.ca
www.crystalrose.ca
解决方案
A、请使用金山毒霸最新的病毒库可完来自全处理该病毒;
损为着强 B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭;
C、开启金山毒霸病毒防火墙可防止病毒入侵。
安全小贴士
A、更案代你汉列全养成良好的安全习惯。只有不轻易打开即时通讯工具传来的网址、不随便打开来历不明的邮件
及附件、不到不安全的网站下载360百科可执行程序、不要执行杀见晚功号术亚从 Internet 下载后未经杀毒处理的软
件等,才能确保您系统的安全。
B、经常升级系统补丁。好多网络病毒是通过系统漏洞进行传播的,已出现的重大病毒如:冲击波
、震荡波与饭她她后积法自零湖劳等,都是利用了系统漏洞,所以请您定期到微软网站下载最新的安全补丁,及时补住
您系统的漏洞。
C、使用较为复杂的密码保护。有许多网络病毒通过弱密码攻击用户机器,也就是通过猜测用户机
器密码的方式攻击系统,究良势先由左入善陆因此使用复杂的密目种义怀年住谈为附液这码,将会大大提高计算机的安全系数。