北京信息安全中心毒霸联合发布3.03热门病毒

北京信息安全中心毒霸联合发布3.03热门病毒

2004年03月03日10:32:14　金山毒霸安全资讯网　

　　北京信息安全测评中心、金山毒霸联合发布2004年03月03日热门病毒

　　据金山毒霸反病毒实验室介绍，今日提醒用户注意以下病毒：

　　目录：· 病毒信息　　 · 技术特点　　 · 解决方案

　　“恶鹰”变种E（Worm.Beagle.E），蠕虫病毒。该蠕虫病毒感染系统后，会主动关闭系统中运行的大部分反病毒软件及其升级程序，在系统中查找Email地址并向这些地址发送带有病毒附件的邮件，并将系统信息向外发送，可能造成用户的间接经济损失，并使系统性能下降或极不稳定，还会造成网络堵塞。以下是该病毒的详情：

　　病毒信息：

　　病毒名称:Worm.Beagle.E
　　中文名称: “恶鹰”变种E
　　威胁级别: 3A
　　受影响系统:Win9x/WinMe/Win2000/WinXP/Win2003

　　技术特点：

　　· 将病毒自身拷贝到 %System%\i1ru74n4.exe；

　　· 创建以下文件
　　　 %System%\godo.exe
　　　 %System%\ii455nj4.exe
　　　 %System%\i1ru74n4.exeopen (zip文件)；

　　· 在注册表的主键:
　　　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　中添加如下键值:
　　　 "rate.exe"="%System%\i1ru74n4.exe"
　　　以便该病毒在每次重启 Windows 时运行；

　　· 在注册表的主键:
　　　 HKEY_CURRENT_USER\SOFTWARE\DateTime4
　　　中添加如下键值:
　　　 "uid"="<随机数字>"
　　　 "port"="2745" 为黑客连接打开的端口号
　　　 "frun"="1"；

　　· 创建一个名为 imain_mutex 的互斥量，保证每次只运行一个蠕虫实例；

　　· 将 godo.exe 作为一个 DLL 注入到 explorer.exe 的地址空间；

　　· 打开TCP端口，以便黑客连接，端口号为 2745；

　　· 有可能会打开记事本程序（notepad.exe），这是因为蠕虫不是从 %System%\i1ru74n4.exe 被
　　　启动；

　　· 向以下站点的80端口发送HTTP Get请求
　　　 permail.uni-muenster.de
　　　 www.songtext.net/de
　　　 www.sportscheck.de
　　　该GET请求包含被感染机器的监听端口，注册表键值"uid"中纪录的ID号。在连接web服务器时，
　　　其IP地址也被发送；

　　· 尝试关闭以下反病毒软件的程序进程：
　　　 ATUPDATER.EXE
　　　 AUPDATE.EXE
　　　 AUTODOWN.EXE
　　　 AUTOTRACE.EXE
　　　 AUTOUPDATE.EXE
　　　 AVLTMAIN.EXE
　　　 AVPUPD.EXE
　　　 AVWUPD32.EXE
　　　 AVXQUAR.EXE
　　　 CFIAUDIT.EXE
　　　 DRWEBUPW.EXE
　　　 ICSSUPPNT.EXE
　　　 ICSUPP95.EXE
　　　 LUALL.EXE
　　　 MCUPDATE.EXE
　　　 NUPGRADE.EXE
　　　 OUTPOST.EXE
　　　 UPDATE.EXE

　　· 在本地磁盘扫描具有以下扩展名的文件，以收集邮件地址。
　　　 .wab 　　　 .txt 　　　 .htm 　　　 .html
　　　 .dbx 　　　 .mdx 　　　 .eml 　　　 .nch
　　　 .mmf 　　　 .ods 　　　 .cfg 　　　 .asp
　　　 .php 　　　 .pl 　　　　.adb 　　　 .sht

　　· 用自带的smtp引擎发送邮件：

　　　邮件主题从以下段落中选择一个：
　　　 Accounts department
　　　 Ahtung!
　　　 Camila
　　　 Daily activity report
　　　 Ello!
　　　 Flayers among us
　　　 Freedom for everyone
　　　 From Hair-cutter
　　　 From me
　　　 Greet the day
　　　 Hardware devices price-list
　　　 Hello my friend
　　　 Hi!
　　　 Jenny
　　　 Jessica
　　　 Looking for the report
　　　 Maria
　　　 Melissa
　　　 Monthly incomings summary
　　　 New Price-list
　　　 Price
　　　 Price list
　　　 Price-list
　　　 Pricelist
　　　 Proclivity to servitude
　　　 Registration confirmation
　　　 The account
　　　 The employee
　　　 The summary
　　　 USA government abolishes the capital punishment
　　　 Weekly activity report
　　　 Well...
　　　 You are dismissed
　　　 You really love me? he he

　　　邮件内容从以下段落中选择一个：
　　　 Subj
　　　 Request
　　　 Empty
　　　 Response
　　　 Everything inside the attach
　　　 Look it through
　　　 Cya

　　　邮件附件为 <随机字符>.zip，该zip文件中包含一个图标为记事本的exe程序。；

　　· 该蠕虫将不会往含以下字段的邮件地址发送邮件。
　　　 .gr
　　　 @hotmail.com
　　　 @msn.com
　　　 @microsoft
　　　 @avp.
　　　 noreply
　　　 local
　　　 root@
　　　 postmaster@

　　解决方案:

　　·金山毒霸已经于3月1日对该病毒进行了应急处理，请升级最新版可完全查该病毒；

　　· 请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注
　　　意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件；

　　· 该病毒不易手工清楚，会造成清楚不干净的现象，请升级毒霸到2004年3月2日的病毒库可处理
　　　该病毒。
　　　如没有安装金山毒霸，可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金
　　　山毒霸下载版来防止该病毒的入侵；或可以选择登到录
　　　 http://www.duba.net/download/3/104.shtml下载“恶鹰”专杀工具，防止该病毒的肆虐。
　　　金山公司的为广大用户提供反病毒咨询，求助热线为：010-82326868 。　