[转帖]警惕邮件蠕虫Email-Worm.Win32.Bagle.dn

转帖:警惕邮件蠕虫Email-Worm.Win32.Bagle.dn 来自安天实验室： http://www.antiy.com/index.htm 病毒标签： 病毒名称： Email-Worm.Win32.Bagle.dn 中文名称： 白鸽变种 病毒类型： 邮件蠕虫 文件 MD5： 85CDA7C5E28830BCF7698BF25083B36B 公开范围： 完全公开 危害等级： 高 文件长度： 31,347 字节 感染系统： windows 98及以上版本 开发工具： Microsoft Visual C++ 6.0 加壳类型： 未知壳 命名对照： Symentec[Trojan.Lodear.B] 　　　　　 Mcafee[W32/Bagle.gen] 病毒描述： 　 该病毒属邮件蠕虫，为白鸽病毒家族的一个变种。该病毒主要通过发送病毒邮件传播。病毒运行后会创建七个互斥体，而后病毒打开注册表文件，删除一些安全软件的键值，当复制自身到%system%目录下后便会添加启动项值，达到随系统启动的目的。病毒会连接几个网站，尝试下载邮件列表，通过下载的地址列表来发送病毒邮件。该病毒对用户有一定的威胁。 行为分析： 1、创建以下这些互斥体，防止该病毒的多个副本同时运行： MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D ';D';r';o';p';p';e';d';S';k';y';N';e';t'; _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ 2、修改注册表文件： 删除以下键值： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Ru1n 键值: 字串: 9XHtProtect HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Ru1n 键值: 字串: Antivirus HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Ru1n 键值: 字串: EasyAV HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Ru1n 键值: 字串: FirewallSvr HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Ru1n 键值: 字串: Norton Antivirus AV HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Ru1n 键值: 字串: PandaAVEngine HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Ru1n 键值: 字串: SysMonXP …… 添加以下键值： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\ 键值: 字串: erthegdr = "%System%\windll2.exe" 3、病毒运行后复制原病毒文件到：%System%\windll2.exe 4、病毒主要通过发送含有病毒附件的邮件传播： 病毒邮件内容可能为： new price price 病毒附件名可能为： 　price.zip 　price2.zip 　price_new.zip 　price_09.zip 　09_price.zip 　newprice.zip 　new_price.zip 　new__price.zip 　…… 5、连接以下地址，尝试下载列表： 　***khare.com 　***ntpeopleforyou.com 　***acionesartisticasandaluzas.com 注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。 清除方案： 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 删除病毒文件：%System%\windll2.exe (2) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\ 键值: 字串: erthegdr = "%System%\windll2.exe" 附： 安天木马防线2005+试用版下载地址: http://www.antiy.com/product/ghostbusters/index.htm 病毒上报信箱: submit@virusview.net 木马防线2005+： 　 木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。 高效木马查杀:　 采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。 系统安全管理: 提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。 实时网络防护: 全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。