病毒名称: Worm.Beagle.u

　　中文名称: 恶鹰变种U

　　威胁级别: 3A

　　病毒别名:

　　贝革热

　　雏鹰[江民]

　　WORM_BAGLE.U[趋势]

　　病毒类型: 蠕虫、后门

　　受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　能处理的毒霸版本: 2004.03.27

　　破坏方法：

　　 A、通过电子邮件高速传播；

　　 B、开启后门自动下载恶意程序，或自动更新病毒代码。

　　 C、技术特点：

　　 1、系统修改

　　 A、将病毒自身拷贝到 %System%\gigabit.exe，文件图标为一个时钟。

　　

　　 B、在注册表的主键:

　　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　

　　 中添加如下键值:

　　 "gigabit.exe"="%System%\gigabit.exe"

　　 以便该病毒在每次重启 Windows 时运行。

　　 C、创建注册表主键:

　　 HKEY_CURRENT_USER\SOFTWARE\Windows2004

　　

　　 D、打开TCP端口，以便黑客连接，端口号为 4751

　　 2、发作现象:

　　 A、执行微软的红心大战游戏程序，文件名为 Mshearts.exe。

　　 B、尝试连接指定的网站。

　　 C、在本地磁盘扫描具有以下扩展名的文件，以收集邮件地址。

　　 .wab

　　 .txt

　　 .msg

　　 .htm

　　 .shtm

　　 .stm

　　 .xml

　　 .dbx

　　 .mbx

　　 .mdx

　　 .eml

　　 .nch

　　 .mmf

　　 .ods

　　 .cfg

　　 .asp

　　 .php

　　 .pl

　　 .wsh

　　 .adb

　　 .tbb

　　 .sht

　　 .xls

　　 .oft

　　 .uin

　　 .cgi

　　 .mht

　　 .dhtm

　　 .jsp

　　 D、给收集到的邮件地址发邮件，标题和主题均为空，附件为该蠕虫程序，附件文件名随机。

　　 E、该蠕虫将不会往含以下字段的邮件地址发送邮件。

　　 @avp

　　 @microsoft

　　解决方案:

　　 A、请使用金山毒霸2004年03月27日的病毒库可完全处理该病毒；

　　 B、请不要轻易点击陌生人的邮件以及下载和运行其所带附件，在运行可疑附件前最好先用毒霸扫描；

　　 C、手工解决方案：

　　 对于系统是Win9x/WinMe

　　 步骤一，删除病毒主程序

　　 请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为C:\windows），分别输入以下命令，以便删除病毒程序：

　　 C:\windows\>cd system

　　 C:\windows\system\>del gigabit.exe 完毕后，取出系统软盘，重新引导到Windows系统。 如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。[未结束]