"恶鹰变种AT"(Worm.Beagle.at)

该病毒通过邮件进行传播，用户运行邮件附件后，会尝试关闭计算机内的反病毒软件，并从网上下载一个后门。该蠕虫，还会在受感染的机器的文件中搜索电子邮件，并向搜索到的地址发送邮件。来自诱惑用户打开运行病毒程序。该病毒会向外发送大量的带毒邮件，严重的堵塞正零侵政入要天用户网络。建议用户开启防火墙来防止该病毒的侵入。

• 中文名称: 恶鹰变种at
• 病毒别名:  I-Worm.Bagle.at[AVP]
• 病毒名称: Worm.Beagle.at
• 病毒长度: 17924

病毒概说

　　金山毒霸反病毒实验室紧急处理了一个传播较为广泛的恶鹰家族成员，命来自名为:"恶鹰变种AT"(Worm.Beagle.at)，并紧急升级了病毒库。该变种已有部份用户不慎感染，已在互联网络制造大量360百科垃圾邮件，请广大网络用户提高警惕。

　　金山毒霸对该病毒已经做了紧急处理，请用户及时升级毒霸到2004年10月29日的最新病毒库。

病毒分析报告

病毒信审下重主息

　　病毒名称:Worm.Beagle.at

　　中文名称: 恶鹰变种at

　　病毒别名: I-Worm.Bagle.at[AVP]

　　病毒长度:17924

　　威胁级别:三级

　　病毒类型:蠕虫

　　受影响系统: WinNT/Win2000包善带飞要月使免菜变验/WinXP/Windows2003

　　发现时间:2004年10月29日

技术特点

　　1.创建以下几春济伟材亚过个来防止NetS工ky病毒运行:

　　M张消片领药效势刚促况uXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

　　'D'r'o'p'p'e'财修d'S'k'y'神负切八底N'e't'

　　_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

　　[SkyNet.cz]SystemsMut行歌全当宽安引村ex

　　AdmSk面围与台ynetJklS003

　　____--->>>>U<<<<--____

　　_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

　　2.在被极觉确族孙京评伤感染的机器上创建以下文件:

　　%System%\bawin输父磁湖亲do.exe

　　%System%\bawindo.exeopen

　　%System%\ba二完矛异死团华石送季跳windo.exeopenopen

　　%System%\re_file.exe

　　3.在注角危模客怀期吗册表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中

　　增加"wingo"="%System%\wingo.exe"来确保自身能随计算机启动

　场拉案宽物质氢初底蛋　4.从HKEY_LOCAL_MACHINE\SOFTWARE\Micr伤皮克孩育osoft\Windows\CurrentVer意校认灯远脚想饭林sion\Run

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio读都统他会合等n\Run

　　删除包含以下字符串的键值:

　　My AV

　　Zone Labs Client Ex

　　9XHtProte厚果ct

　　Antivirus

　　Special Firewall Service

　　service

　　Tiny AV

　　ICQNet

　　HtProtect

　　NetDy

　　Jammer2nd

　　FirewallSvr

　　MsInfo

　　SysMonXP

　　EasyAV

　　PandaAVEngine

　　Norton Antivirus AV

　　KasperskyAVEng

　　SkynetsRevenge

　　ICQ Net

　　5.在包含"shar"字符串的目录下创建文件，文件名可能为下列字符:

　　Microsoft Office 2003 Crack, Working!.exe

　　Microsoft Windows XP, WinXP Crack, working Keygen.exe

　　Microsoft Office XP working Crack, Keygen.exe

　　Porno, sex, oral, anal cool, awesome!!.exe

　　Porno Screensaver.scr

　　Serials.txt.exe

　　KAV 5.0

　　Kaspersky Antivirus 5.0

　　Porno pics arhive, xxx.exe

　　Windows Sourcecode update.doc.exe

　　Ahead Nero 7.exe

　　Windown Longhorn Beta Leak.exe

　　Opera 8 New!.exe

　　XXX hardcore images.exe

　　WinAmp 6 New!.exe

　　WinAmp 5 Pro Keygen Crack Update.exe

　　Adobe Photoshop 9 full.exe

　　Matrix 3 Revolution English Subtitles.exe

　　ACDSee 9.exe

　　6.搜索以下列字符串为扩展名的文件来获得Email地址，并用自带的SMTP引擎发送带毒邮件

　　.adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml

　　7.病毒发送的带毒邮件具有如下特征:

　　发件人:伪造的

　　主题:

　　Re:

　　Re: Hello

　　Re: Thank you!

　　Re: Thanks :)

　　Re: Hi

　　正文:

　　:)

　　:))

　　附件:

　　文件名可能为:

　　Price

　　price

　　Joke

　　扩展名可能为:

　　.com/.scr/.cpl

　　8.该病毒不会向包含以下字符串的邮件地址发送邮件

　　@avp.

　　@foo

　　@hotmail

　　@iana

　　@messagelab

　　@microsoft

　　@msn

　　abuse

　　admin

　　anyone@

　　bsd

　　bugs@

　　cafee

　　certific

　　contract@

　　f-secur

　　feste

　　free-av

　　gold-certs@

　　google

　　help@

　　icrosoft

　　info@

　　kasp

　　linux

　　listserv

　　local

　　news

　　nobody@

　　noone@

　　noreply

　　ntivi

　　panda

　　pgp

　　postmaster@

　　rating@

　　root@

　　samples

　　sopho

　　spam

　　support

　　unix

　　update

　　winrar

　　winzip

　　9.尝试从下列网站下载文件

　　www.bottombouncer.com

　　www.bottombouncer.com

　　www.anthonyflanagan.com

　　www.bradster.com

　　www.traverse.com

　　www.ims-i.com

　　www.realgps.com

　　www.aviation-center.de

　　www.gci-bln.de

　　www.pankration.com

　　www.jansenboiler.com

　　www.corpsite.com

　　www.everett.wednet.edu

　　www.onepositiveplace.org

　　www.raecoinc.com

　　www.wwwebad.com

　　www.corpsite.com

　　www.wwwebmaster.com

　　www.wwwebad.com

　　www.dragcar.com

　　www.wwwebad.com

　　www.oohlala-kirkland.com

　　www.calderwoodinn.com

　　www.buddyboymusic.com

　　www.smacgreetings.com

　　www.tkd2xcell.com

　　www.curtmarsh.com

　　www.dontbeaweekendparent.com

　　www.soloconsulting.com

　　www.lasermach.com

　　www.generationnow.net

　　www.flashcorp.com

　　www.kencorbett.com

　　www.FritoPie.NET

　　www.leonhendrix.com

　　www.transportation.gov.bh

　　www.transportation.gov.bh

　　www.jhaforpresident.7p.com

　　www.DarrkSydebaby.com

　　www.cntv.info

　　www.sugardas.lt

　　www.adhdtests.com

　　www.argontech.net

　　www.customloyal.com

　　www.ohiolimo.com

　　www.topko.sk

　　www.alupass.lu

　　www.sigi.lu

　　www.redlightpictures.com

　　www.irinaswelt.de

　　www.bueroservice-it.de

　　www.kranenberg.de

　　www.kranenberg.de

　　www.the-fabulous-lions.de

　　www.the-fabulous-lions.de

　　www.mongolische-renner.de

　　www.mongolische-renner.de

　　www.capri-frames.de

　　www.capri-frames.de

　　www.aimcenter.net

　　www.boneheadmusic.com

　　www.fludir.is

　　www.sljinc.com

　　www.tivogoddess.com

　　www.fcpages.com

　　www.andara.com

　　www.freeservers.com

　　www.programmierung20d 0a0.de

　　www.asianfestival.nl

　　www.aviation-center.de

　　www.gci-bln.de

　　www.mass-i.kiev.ua

　　www.jasnet.pl

　　www.atlantisteste.hpg.com.br

　　www.fludir.is

　　www.rieraquadros.com.br

　　www.metal.pl

　　www.handsforhealth.com

　　www.angelartsanctuary.com

　　www.firstnightoceancounty.org

　　www.chinasenfa.com

　　www.chinasenfa.com

　　www.ulpiano.org

　　www.gamp.pl

　　www.vikingpc.pl

　　www.woundedshepherds.com

　　www.cpc.adv.br

　　www.velocityprint.com

　　www.esperanzaparalafamilia.com

　　www.celula.com.mx

　　www.mexis.com

　　www.wecompete.com

　　www.vbw.info

　　www.gfn.org

　　www.aegee.org

　　www.deadrobot.com

　　www.cscliberec.cz

　　www.ecofotos.com.br

　　www.amanit.ru

　　www.bga-gsm.ru

　　www.innnewport.com

　　www.knicks.nl

　　www.srg-neuburg.de

　　www.mepmh.de

　　www.mepbisu.de

　　www.kradtraining.de

　　www.polizeimotorrad.de

　　www.sea.bz.it

　　www.uslungiarue.it

　　www.gcnet.ru

　　www.aimcenter.net

　　www.vandermost.de

　　www.vandermost.de

　　www.szantomierz.art.pl

　　www.immonaut.sk

　　www.eurostavba.sk

　　www.spadochron.pl

　　www.pyrlandia-boogie.pl

　　www.kps4parents.com

　　www.pipni.cz

　　www.selu.edu

　　www.travelchronic.de

　　www.fleigutaetscher.ch

　　www.irakli.org

　　www.oboe-online.com

　　www.oboe-online.com

　　www.pe-sh.com

　　www.idb-group.net

　　www.ceskyhosting.cz

　　www.ceskyhosting.cz

　　www.hartacorporation.com

　　www.glass.la

　　www.glass.la

　　www.24-7-transportation.com

　　www.fepese.ufsc.br

　　www.ellarouge.com.au

　　www.bbsh.org

　　www.boneheadmusic.com

　　www.sljinc.com

　　www.tivogoddess.com

　　www.fcpages.com

　　www.szantomierz.art.pl

　　www.elenalazar.com

　　www.ssmifc.ca

　　www.reliance-yachts.com

　　www.worest.com.ar

　　www.kps4parents.com

　　www.coolfreepages.com

　　www.scanex-medical.fi

　　www.jimvann.com

　　www.orari.net

　　www.himpsi.org

　　www.mtfdesign.com

　　www.jldr.ca

　　www.relocationflorida.com

　　www.rentalstation.com

　　www.approved1stmortgage.com

　　www.velezcourtesymanagement.com

　　www.sunassetholdings.com

　　www.compsolutionstore.com

　　www.uhcc.com

　　www.justrepublicans.com

　　www.pfadfinder-leobersdorf.com

　　www.featech.com

　　www.vinirforge.com

　　www.magicbottle.com.tw

　　www.giantrevenue.com

　　www.couponcapital.net

　　www.crystalrose.ca

　　www.crystalrose.ca

　　www.crystalrose.ca

　　www.crystalrose.ca

解决方案

　　A、请使用金山毒霸最新的病毒库可完来自全处理该病毒;

　损为着强　B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭;

　　C、开启金山毒霸病毒防火墙可防止病毒入侵。

　　安全小贴士

　　A、更案代你汉列全养成良好的安全习惯。只有不轻易打开即时通讯工具传来的网址、不随便打开来历不明的邮件

　　及附件、不到不安全的网站下载360百科可执行程序、不要执行杀见晚功号术亚从 Internet 下载后未经杀毒处理的软

　　件等，才能确保您系统的安全。

　　B、经常升级系统补丁。好多网络病毒是通过系统漏洞进行传播的，已出现的重大病毒如:冲击波

　　、震荡波与饭她她后积法自零湖劳等，都是利用了系统漏洞，所以请您定期到微软网站下载最新的安全补丁，及时补住

　　您系统的漏洞。

　　C、使用较为复杂的密码保护。有许多网络病毒通过弱密码攻击用户机器，也就是通过猜测用户机

　　器密码的方式攻击系统，究良势先由左入善陆因此使用复杂的密目种义怀年住谈为附液这码，将会大大提高计算机的安全系数。