Board logo

标题: [转帖]警惕邮件蠕虫Email-Worm.Win32.Bagle.er [打印本页]
作者: h24arb    时间: 2005-12-30 15:07     标题: [转帖]警惕邮件蠕虫Email-Worm.Win32.Bagle.er

转帖:警惕邮件蠕虫Email-Worm.Win32.Bagle.er
来自安天实验室:
http://www.antiy.com/index.htm
病毒标签:
病毒名称: Email-Worm.Win32.Bagle.er
中文名称: 白鸽变种
病毒类型: 邮件蠕虫
文件 MD5: AE11065345F4B5263CB67CA73E34D883
公开范围: 完全公开
危害等级: 中
文件长度: 19,961 字节
感染系统: windows 98 及以上版本
开发工具: Visual C++ 6.0
加壳类型: 未知壳
命名对照: Symentec[Trojan.Lodav.B]
      Mcafee[W32/Bagle.gen]

病毒描述:
  该病毒属邮件蠕虫类,它是白鸽病毒家族的一个较新变种,病毒传播方式同其他变种相类似,病毒运行后会释放副本到%system%antiav_exe.exe、%system%antiav_dll.dll ,修改注册表文件,添加到启动项目,病毒释放的%system% antiav_dll.dll还会注入到explorer.exe进程中,该dll文件还会尝试终止某些反病毒及安全类软件,并尝试删除这些软件的主程序,删除这些反病毒及安全类软件件的注册表键值,并尝试停止他们的服务,从而降低用户系统的安全性。该病毒对用户有一定危害。
行为分析:
1、病毒运行后会释放副本到:
 %system%antiav_exe.exe
 %system%antiav_dll.dll
2、修改注册表文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\auto__antiav__key
键值: 字串: "%System32%\antiav_exe.exe"
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\auto__antiav__key
键值: 字串: "%\System32%\antiav_exe.exe"
3、释放的%system%antiav_dll.dll会注入到explorer.exe进程中,尝试终止以下反病毒
及安全软件的进程:
AUPDATE.EXE  AVGNT.EXE      
Avconsol.exe AVSCHED32.DLL  
avgcc.exe    AVSCHED32.EXE  
AVGCMSG.DLL  Avsynmgr.exe   
avgemc.exe   AVWUPD32.EXE   
BCGCB59.dll  drwadins.exe   
bdmcon.exe   drweb32w.exe   
bdnews.exe   drwebscd.exe   
bdsubmit.exe drwebupw.exe   
bdswitch.exe FFJMPWEB.DLL   
cafix.exe    freshclam.exe  
ccApp.exe    GUARDEVT.DLL   
CCEVTMGR.EXE GUARDGUI.EXE   
ccl30.dll    GUARDMSG.DLL   
CCSETMGR.EXE GuardNT.exe   
ccvrtrst.dll IksysT32.dll   
ClamTray.exe INETUPD.EXE   
ClamWin.exe  InocIT.exe     
CMGrdian.exe InoOEM.dll     
D2htls32.dll InoOption.dll  
……           
4、病毒在终止以上进程后,会尝试删除或重命名这些反病毒及安全类软件的主程序。
5、尝试删除以下键值,从而降低了系统的安全性:
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\APVXDWIN
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\KAV50
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\McAfee Guardian
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\NAV CfgWiz
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\SSC_UserPrompt
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Zone Labs Client
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\avg7_cc
……
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀: 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2