您的位置:首页 > 百科 > 正文

"恶鹰变种AT"(Worm.Beagle.at)

该病毒通过邮件进行传播,用户运行邮件附件后,会尝试关闭计算机内的反病毒软件,并从网上下载一个后门。该蠕虫,还会在受感染的机器的文件中搜索电子邮件,并向搜索到的地址发送邮件。来自诱惑用户打开运行病毒程序。该病毒会向外发送大量的带毒邮件,严重的堵塞正零侵政入要天用户网络。建议用户开启防火墙来防止该病毒的侵入。

  • 中文名称: 恶鹰变种at
  • 病毒别名:  I-Worm.Bagle.at[AVP]
  • 病毒名称: Worm.Beagle.at
  • 病毒长度: 17924

病毒概说

  金山毒霸反病毒实验室紧急处理了一个传播较为广泛的恶鹰家族成员,命来自名为:"恶鹰变种AT"(Worm.Beagle.at),并紧急升级了病毒库。该变种已有部份用户不慎感染,已在互联网络制造大量360百科垃圾邮件,请广大网络用户提高警惕。

  金山毒霸对该病毒已经做了紧急处理,请用户及时升级毒霸到2004年10月29日的最新病毒库。

病毒分析报告

病毒信审下重主

  病毒名称:Worm.Beagle.at

  中文名称: 恶鹰变种at

  病毒别名: I-Worm.Bagle.at[AVP]

  病毒长度:17924

  胁级别:三级

  病毒类型:蠕虫

  受影响系统: WinNT/Win2000包善带飞要月使免菜变验/WinXP/Windows2003

  发现时间:2004年10月29日

术特点

  1.创建以下几春济伟材亚过个来防止NetSky病毒运行:

  M张消片领药效势刚促况uXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

  'D'r'o'p'p'e'财修d'S'k'y'神负切八底N'e't'

  _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

  [SkyNet.cz]SystemsMut行歌全当宽安引村ex

  AdmSk面围与台ynetJklS003

  ____--->>>>U<<<<--____

  _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

  2.在被极觉确族孙京评伤感染的机器上创建以下文件:

  %System%\bawin输父磁湖亲do.exe

  %System%\bawindo.exeopen

  %System%\ba二完矛异死团华石送季跳windo.exeopenopen

  %System%\re_file.exe

  3.在注角危模客怀期吗册表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中

  增加"wingo"="%System%\wingo.exe"来确保自身能随计算机启动

 场拉案宽物质氢初底蛋 4.从HKEY_LOCAL_MACHINE\SOFTWARE\Micr伤皮克孩育osoft\Windows\CurrentVer意校认灯远脚想饭林sion\Run

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio读都统他会合等n\Run

  删除包含以下字符串的键值:

  My AV

  Zone Labs Client Ex

  9XHtProte厚果ct

  Antivirus

  Special Firewall Service

  service

  Tiny AV

  ICQNet

  HtProtect

  NetDy

  Jammer2nd

  FirewallSvr

  MsInfo

  SysMonXP

  EasyAV

  PandaAVEngine

  Norton Antivirus AV

  KasperskyAVEng

  SkynetsRevenge

  ICQ Net

  5.在包含"shar"字符串的目录下创建文件,文件名可能为下列字符:

  Microsoft Office 2003 Crack, Working!.exe

  Microsoft Windows XP, WinXP Crack, working Keygen.exe

  Microsoft Office XP working Crack, Keygen.exe

  Porno, sex, oral, anal cool, awesome!!.exe

  Porno Screensaver.scr

  Serials.txt.exe

  KAV 5.0

  Kaspersky Antivirus 5.0

  Porno pics arhive, xxx.exe

  Windows Sourcecode update.doc.exe

  Ahead Nero 7.exe

  Windown Longhorn Beta Leak.exe

  Opera 8 New!.exe

  XXX hardcore images.exe

  WinAmp 6 New!.exe

  WinAmp 5 Pro Keygen Crack Update.exe

  Adobe Photoshop 9 full.exe

  Matrix 3 Revolution English Subtitles.exe

  ACDSee 9.exe

  6.搜索以下列字符串为扩展名的文件来获得Email地址,并用自带的SMTP引擎发送带毒邮件

  .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml

  7.病毒发送的带毒邮件具有如下特征:

  发件人:伪造的

  主题:

  Re:

  Re: Hello

  Re: Thank you!

  Re: Thanks :)

  Re: Hi

  正文:

  :)

  :))

  附件:

  文件名可能为:

  Price

  price

  Joke

  扩展名可能为:

  .com/.scr/.cpl

  8.该病毒不会向包含以下字符串的邮件地址发送邮件

  @avp.

  @foo

  @hotmail

  @iana

  @messagelab

  @microsoft

  @msn

  abuse

  admin

  anyone@

  bsd

  bugs@

  cafee

  certific

  contract@

  f-secur

  feste

  free-av

  gold-certs@

  google

  help@

  icrosoft

  info@

  kasp

  linux

  listserv

  local

  news

  nobody@

  noone@

  noreply

  ntivi

  panda

  pgp

  postmaster@

  rating@

  root@

  samples

  sopho

  spam

  support

  unix

  update

  winrar

  winzip

  9.尝试从下列网站下载文件

  www.bottombouncer.com

  www.bottombouncer.com

  www.anthonyflanagan.com

  www.bradster.com

  www.traverse.com

  www.ims-i.com

  www.realgps.com

  www.aviation-center.de

  www.gci-bln.de

  www.pankration.com

  www.jansenboiler.com

  www.corpsite.com

  www.everett.wednet.edu

  www.onepositiveplace.org

  www.raecoinc.com

  www.wwwebad.com

  www.corpsite.com

  www.wwwebmaster.com

  www.wwwebad.com

  www.dragcar.com

  www.wwwebad.com

  www.oohlala-kirkland.com

  www.calderwoodinn.com

  www.buddyboymusic.com

  www.smacgreetings.com

  www.tkd2xcell.com

  www.curtmarsh.com

  www.dontbeaweekendparent.com

  www.soloconsulting.com

  www.lasermach.com

  www.generationnow.net

  www.flashcorp.com

  www.kencorbett.com

  www.FritoPie.NET

  www.leonhendrix.com

  www.transportation.gov.bh

  www.transportation.gov.bh

  www.jhaforpresident.7p.com

  www.DarrkSydebaby.com

  www.cntv.info

  www.sugardas.lt

  www.adhdtests.com

  www.argontech.net

  www.customloyal.com

  www.ohiolimo.com

  www.topko.sk

  www.alupass.lu

  www.sigi.lu

  www.redlightpictures.com

  www.irinaswelt.de

  www.bueroservice-it.de

  www.kranenberg.de

  www.kranenberg.de

  www.the-fabulous-lions.de

  www.the-fabulous-lions.de

  www.mongolische-renner.de

  www.mongolische-renner.de

  www.capri-frames.de

  www.capri-frames.de

  www.aimcenter.net

  www.boneheadmusic.com

  www.fludir.is

  www.sljinc.com

  www.tivogoddess.com

  www.fcpages.com

  www.andara.com

  www.freeservers.com

  www.programmierung20d 0a0.de

  www.asianfestival.nl

  www.aviation-center.de

  www.gci-bln.de

  www.mass-i.kiev.ua

  www.jasnet.pl

  www.atlantisteste.hpg.com.br

  www.fludir.is

  www.rieraquadros.com.br

  www.metal.pl

  www.handsforhealth.com

  www.angelartsanctuary.com

  www.firstnightoceancounty.org

  www.chinasenfa.com

  www.chinasenfa.com

  www.ulpiano.org

  www.gamp.pl

  www.vikingpc.pl

  www.woundedshepherds.com

  www.cpc.adv.br

  www.velocityprint.com

  www.esperanzaparalafamilia.com

  www.celula.com.mx

  www.mexis.com

  www.wecompete.com

  www.vbw.info

  www.gfn.org

  www.aegee.org

  www.deadrobot.com

  www.cscliberec.cz

  www.ecofotos.com.br

  www.amanit.ru

  www.bga-gsm.ru

  www.innnewport.com

  www.knicks.nl

  www.srg-neuburg.de

  www.mepmh.de

  www.mepbisu.de

  www.kradtraining.de

  www.polizeimotorrad.de

  www.sea.bz.it

  www.uslungiarue.it

  www.gcnet.ru

  www.aimcenter.net

  www.vandermost.de

  www.vandermost.de

  www.szantomierz.art.pl

  www.immonaut.sk

  www.eurostavba.sk

  www.spadochron.pl

  www.pyrlandia-boogie.pl

  www.kps4parents.com

  www.pipni.cz

  www.selu.edu

  www.travelchronic.de

  www.fleigutaetscher.ch

  www.irakli.org

  www.oboe-online.com

  www.oboe-online.com

  www.pe-sh.com

  www.idb-group.net

  www.ceskyhosting.cz

  www.ceskyhosting.cz

  www.hartacorporation.com

  www.glass.la

  www.glass.la

  www.24-7-transportation.com

  www.fepese.ufsc.br

  www.ellarouge.com.au

  www.bbsh.org

  www.boneheadmusic.com

  www.sljinc.com

  www.tivogoddess.com

  www.fcpages.com

  www.szantomierz.art.pl

  www.elenalazar.com

  www.ssmifc.ca

  www.reliance-yachts.com

  www.worest.com.ar

  www.kps4parents.com

  www.coolfreepages.com

  www.scanex-medical.fi

  www.jimvann.com

  www.orari.net

  www.himpsi.org

  www.mtfdesign.com

  www.jldr.ca

  www.relocationflorida.com

  www.rentalstation.com

  www.approved1stmortgage.com

  www.velezcourtesymanagement.com

  www.sunassetholdings.com

  www.compsolutionstore.com

  www.uhcc.com

  www.justrepublicans.com

  www.pfadfinder-leobersdorf.com

  www.featech.com

  www.vinirforge.com

  www.magicbottle.com.tw

  www.giantrevenue.com

  www.couponcapital.net

  www.crystalrose.ca

  www.crystalrose.ca

  www.crystalrose.ca

  www.crystalrose.ca

解决方案

  A、请使用金山毒霸最新的病毒库可完来自全处理该病毒;

 损为着强 B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭;

  C、开启金山毒霸病毒防火墙可防止病毒入侵。

  安全小贴士

  A、更案代你汉列全养成良好的安全习惯。只有不轻易打开即时通讯工具传来的网址、不随便打开来历不明的邮件

  及附件、不到不安全的网站下载360百科可执行程序、不要执行杀见晚功号术亚从 Internet 下载后未经杀毒处理的软

  件等,才能确保您系统的安全。

  B、经常升级系统补丁。好多网络病毒是通过系统漏洞进行传播的,已出现的重大病毒如:冲击波

  、震荡波与饭她她后积法自零湖劳等,都是利用了系统漏洞,所以请您定期到微软网站下载最新的安全补丁,及时补

  您系统的漏洞。

  C、使用较为复杂的密码保护。有许多网络病毒通过弱密码攻击用户机器,也就是通过猜测用户机

  器密码的方式攻击系统,究良势先由左入善陆因此使用复杂的密目种义怀年住谈为附液这码,将会大大提高计算机的安全系数。

发表评论

评论列表