[这个贴子最后由风三在 2005/11/22 04:36pm 第 1 次编辑]
一、病毒标签:
病毒名称: Email-Worm.Win32.Bagle.pac
中文名称: Bagle变种
病毒类型: 邮件蠕虫
危害等级: 中
文件长度: 9,728 字节
感染系统: windows 98及以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
二、病毒描述:
该病毒属邮件蠕虫类,病毒主要通过发送含有病毒附件的邮件传播。病毒还会从特定的URL列表中下载病毒相关文件到本地并运行。病毒运行后首先会在%temp%目录下释放病毒相关文件,而后复制自身到%system%下。修改注册表文件,达到随系统启动的目的。终止某些反病毒及安全软件的进程。修改%System%\drivers\etc\hosts文件,阻止用户访问某些安全网站。
三、行为分析:
1、释放病毒相关文件:%System%\winshost.exe
2、修改注册表文件:
新建以下键值:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:字串:winshost.exe = "%System%\winshost.exe"
KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:字串:winshost.exe = "%System%\winshost.exe"
尝试删除以下键值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\McAfee.InstantUpdate.Monitor
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\APVXDWIN
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\KAV50
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\McAfee Guardian
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\NAV CfgWiz
......
3、修改%System%\drivers\etc\hosts文件:
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 my-etrust.com
......
4、尝试终止以下反病毒及安全软件的进程:
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
......
5、病毒还会查找本地硬盘,尝试重命名以下文件:
CM1Grdian.exe
Mcshield.exe
Mcsh1ield.exe
outpost.exe
kavmm.exe
kav12mm.exe
Up2Date.exe
Up222Date.exe
KAV.exe
K2A2V.exe
......
6、病毒主要通过发送含有病毒附件的邮件进行传播
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
四、清除方案:
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
|
