"恶鹰II"-(Worm.Beagle.B)恶性蠕虫分析报告

告诉您的位置：首页 > 病毒专栏 > 病毒档案 > 正文

"恶鹰II"-(Worm.Beagle.B)恶性蠕虫分析报告

2004年02月18日15:59:32　金山毒霸安全资讯网　

　　该病毒是年初爆发的“恶鹰”（Worm.Beagle.A）蠕虫病毒的最新变种，命名为“恶鹰II”（Worm.Beagle.B）。此次变种病毒仍以发邮件为传播方式，在被感染的系统内留后门，允许黑客远程上传并执行任意程序。此变种最大的不同在于，变种的病毒主程序在邮件附件中时，图标伪装成“命令提示符”，来欺骗用户运行它。病毒在运行时会弹出“录音机”系统程序来隐藏自己的运行，迷惑用户，使自己能成功侵入系统，并再以感染的系统为源，开始发送大量病毒邮件，冲击网络、冲击网络中的邮件服务器。

　　病毒信息：

　　病毒名称: Worm.Beagle.B
　　中文名称: 恶鹰II
　　威胁级别: 3A
　　发现日期: 2004.02.18
　　处理日期: 2004.02.18
　　病毒别名:“恶鹰”变种（Worm.BBeagle.b） [瑞星]
　　　　　　　 W32/Bagle.b@MM [McAfee]
　　　　　　　 W32/Bagle.B@mm [Norman]
　　　　　　　 WORM_BAGLE.B [Trend Mirco]
　　　　　　　 W32/Bagle.B.worm [Panda],
　　病毒类型: 蠕虫、后门
　　受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
　　能处理的毒霸版本: 2004年02月18日

　　技术特点：

　　· 发作条件:该病毒会检查系统日期，如果系统日期为2004年2月25日后，则它将不运行；

　　· 系统修改:

　　　1、自我复制到系统目录 %system%\Au.exe

　　　2、在注册表主键：
　　　　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　　中添加如下键值:
　　　　 "au.exe"="%System%\au.exe"
　　　　以便病毒可随机启动；

　　　　在注册表主键：
　　　　 HKEY_CURRENT_USER\SOFTWARE\Windows2000
　　　　中添加如下键值：
　　　　 "frn" = "0x00000001" or "frn" = "0x00000000"以及"gid" = "<随机值>"
　　　　该随机值被攻击者作为被感染机器的唯一标识；
　　　
　　　3、发作现象:
　　　　 A、如果它不是从%System%\Au.exe运行的，那么它还会启动系统自带的录音机程序
　　　　　　Sndrec32.exe

　　　　 B、在被感染机器以下后缀名的文件中查找Email地址：
　　　　　　.wab
　　　　　　.txt
　　　　　　.htm
　　　　　　.html

　　　　 C、改蠕虫使用其自带的SMTP引擎将其自己发送到查找到的Email地址。它包含自己的MIME编
　　　　　码程序，并将会在内存中先生成邮件，然后发送。
　　　　　其发送的邮件具有如下特征：

　发件人: <具有欺骗性的地址>
　主题: ID <随机字符>... thanks
　正文:
　Yours ID <随机字符>
　- -
　Thank
　附件: <随机字符>.exe

　该蠕虫不会将邮件发送给包含以下任何一个字符串的Email地址:
　@hotmail.com
　@msn.com
　@microsoft
　@avp.

　　　　D、该病毒会检查系统日期，如果系统日期为2004年2月25日后，则它将不运行

　　　4、该病毒的后门特性
　　　　A、在TCP端口8866上打开一个后门供攻击者上传文件至被感染机器。所有上传的文件都被保
　　　　　存在%System%目录下，并被运行；

　　　　B、每隔10,000秒都会向以下网站的TCP 80端口发送HTTP GET请求
　　　　　www.strato.de/1.php
　　　　　www.strato.de/2.php
　　　　　 www.47df.de/wbboard/1.php
　　　　　www.intern.games-ring.de/2.php
　　　　　该GET请求包含被感染机器的监听端口，注册表键值"gid"中纪录的ID号，以及其IP地址。

　　解决方案:

　　· 请使用金山毒霸2004年02月18日的病毒库可完全处理该病毒；

　　· 请注意不要打开陌生人的邮件，由期对有带有可执行程序的附件，要特别警惕；

　　· 手工解决方案：

　 对于系统是Windows9x,WindowsMe：

　　步骤一，删除病毒主程序
　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
　　C:\windows\system），分别输入以下命令，以便删除病毒程序：
　　C:\windows\system\>del Au.exe
　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run
　　在右边的面板中, 找到并删除如下项目：
　　"au.exe"="%System%\au.exe"
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USER > SOFTWARE
　　找到子键Windows2000，并将其全部删除
　　关闭注册表编辑器。

　　对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever：

　　步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务
　　管理器中，单击“进程”标签，在例表栏内找病毒进程“Au.exe”，单击“结束进程按钮”，
　　点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”进入系统目录（Winnt\system32或
　　windows\system32)，找到文件“Au.exe”，将它们删除；

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
　　在右边的面板中, 找到并删除如下项目：
　　"au.exe"="%System%\au.exe"
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USER > SOFTWARE
　　找到子键Windows2000，并将其全部删除
　　关闭注册表编辑器.