| 病毒信息
病毒名称: Worm.Beagle.c
中文名称: 恶鹰变种C
威胁级别: 3B
病毒别名:
贝革热
雏鹰 [江民]
病毒类型: 蠕虫、后门
受影响系统: Win9x/Win2000/WinXP/Win2003
技术特点:
1、传染条件:
利用邮件高速传播。
2、发作条件:
检查计算机日期,如果当前日期是在2004年3月25日之后,病毒将卸载自己并退出。
3、.系统修改:
A、如果病毒在系统目录(%system%)被激活,他会运行记事本,以迷惑用户。
B、自我复制到系统目录
%system%\Readme.exe
D、在系统目录中创建以下文件
%system%\onde.exe 病毒用于发邮件的模块
%system%\doc.exe 用于调用onde.exe
%system%\readme.exeopen 病毒的ZIP压缩包文件
E、使用线程注入的方法将后门程序的模块注入到系统进程explorer.exe中,以便隐藏执行;
F、添加以下键值
"gouday.exe"="%System%\readme.exe"
到
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便病毒可随机自启动;
G、添加以下键值
"uid"="[Random Value]"
"port"="2745"
"frun"="1"
HKEY_CURRENT_USER\SOFTWARE\DateTime2
到
该键值是病毒作者用于记录病毒信息;
H、打开TCP端口2745监听,允许黑客进行一个未授权的访问;
K、搜索以下指定后缀名的文件,查找其中的电子邮件地址,用于发送病毒邮件:
.wab、.txt、.htm、.html、.dbx、.mdx、.eml、.nch、.mmf、.ods、.cfg、
.asp、.php、.pl、.adb、.sht
L、病毒使用自己的发信引擎大量发送病毒邮件,其特征如下:
发件人: (使用搜索到的任意邮件地址)
主题: (可以是以下字符串中)
Accounts department ; Ahtung!; Camila ; Daily activity report ;
Flayers among us ; Freedom for everyone ; From Hair-cutter ; From me ;
Greet the day ; Hardware devices price-list ; Hello my friend ; Hi! ;
Jenny ; Jessica ; Looking for the report ; Maria ; Melissa ;
Monthly incomings summary ; New Price-list ;Price ; Price list ; Pricelist
;
Price-list ; Proclivity to servitude ;
Registration confirmation ; The account ; The employee ; The summary ;
USA government abolishes the capital punishment ; Weekly activity report
;
Well... ; You are dismissed ;You really love me? he he
内容: 通常为空
附件名: <随机字符串>.exe 并打包到一个zip文件中
该病毒不向包含以下域名或邮件地址名的的邮件地址发送病毒邮件:
.ch ; @hotmail.com ;@msn.com ;@mi crosoft ;@avp. ;noreply ;local ;
root@ ; postmaster@
4、发作现象:
病毒主程序使用“电子表格”文件的图标,如下图:
解决方案:
A、金山毒霸已经于3月1日对该病毒进行了应急处理,请升级最新版可完全查该病毒;
B、请一定留意收到的邮件,如果有附件,请不要打开附件,更不要执行附件中的可执行程序,注意病毒程序伪装的图标,不要轻信图标为“电子表格、文本文件、文件夹”的附件。
C、该病毒不易手工清楚,会造成清楚不干净的现象,请升级毒霸到2004年3月1日的病毒库可处理该病毒。如没有安装金山毒霸,可以登录http://online.kingsoft.net
使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的入侵;或可以选择登录到http://www.duba.net 下载“恶鹰”专杀工具,以防止该病毒的肆虐。金山公司的为广大用户提供反病毒咨询,求助热线为:010-82326868。
|
告诉您的位置:
