[转帖]警惕白鸽变种Email-Worm.Win32.Bagle.fc

转帖:警惕白鸽变种Email-Worm.Win32.Bagle.fc
来自安天实验室：
http://www.antiy.com/index.htm
病毒标签：
病毒名称：Email-Worm.Win32.Bagle.fc
中文名称：白鸽变种
病毒类型：邮件蠕虫
文件MD5：AD6D84415467A818F332CFC810A3FCD2
公开范围：完全公开
危害等级：中
文件长度：10,407 字节
感染系统：windows 98及以上版本
开发工具：Visual C++ 6.0
加壳类型：未知壳
命名对照：Symentec[Trojan.Lodear..k]
　　　　　Mcafee[W32/Bagle.gen]

病毒描述：
    病毒属白鸽病毒家族的一个新变种，病毒传播方式同该病毒家族的其他变种类似，病毒运行后会复制原病毒副本到%system%wintems.exe，病毒会尝试关闭任务管理器。病毒还会修改注册表文件，添加启动项，尝试停止服务：SharedAccess、wscsvc，病毒还会创建一个互斥量，防止该病毒的多个副本同时运行。开启本地TCP的3388端口等待远程恶意者的连接。该病毒对用户有一定的危害。

行为分析：
1、创建互斥体"555"，防止该病毒的多个副本同时运行。
2、病毒运行后复制原病毒副本到%system%wintems.exe。
3、停止服务：SharedAccess、wscsvc
4、修改注册表文件：
HKEY_USERS\Software\Microsoft\Windows
\CurrentVersion\Run\german.exe
键值: 字串: "C:\WINNT\System32\wintems.exe"
HKEY_USERS\Software\DateTime4\port
键值: DWORD: 3388 (0xd3c)
5、开启本地TCP的3388端口等待远程恶意者的连接，恶意者可以下载并运行病毒相关文件到感染主机，改变端口号等。
6、病毒运行后会停止进程：taskmgr.exe
7、病毒尝试连接以下网站：
http：//avist*****.ru/prog/img/proizvod/xxx3.php
http：//mir-v*****.ru/p/lang/CVS/xxx3.php
http：//monom*****ty.ru/vakans/xxx3.php
http：//pvcps*****images/xxx3.php
http：//roszv*****t.com/images/xxx3.php
http：//schif*****rty.de/bilder/uploads/xxx3.php
http：//servi*****valuehost.ru/images/xxx3.php
http：//stroy*****stry.ru/service/construction/xxx3.php
http：//vladz*****product.ru/control/sell/t/xxx3.php
http：//www.1*****2rigobert.de/_themes/kopie-von-fantasie-in-blau/xxx3.php
http：//www.d******ygames.de/DG/BF/BF-Links/clans/xxx3.php
http：//www.e*****zittau.de/karten/xxx3.php
http：//www.e*****.hostingcity.net/mysql_admin_new/images/xxx3.php
http：//www.l***a.ru/htmlarea/images/xxx3.php
http：//www.m*****e.ru/sport/omega/pic/omega/xxx3.php
http：//www.ov****deslichts.de/intern/xxx3.php
http：//8mart/*****img/path/xxx3.php
http：//asvt.m*****ages/xxx3.php
http：//calimf*****.com/images/base/orig/xxx3.php
http：//celebov*****nsinspain.com/images/xxx3.php
http：//coralen**********tures.com/images/xxx3.php
http：//dearre.*****com/images/xxx3.php
http：//dmax.ma*****ges/xxx3.php
http：//efpa-et*****/images/xxx3.php
http：//ferrup.*********ru/images/xxx3.php
http：//finanbu*****siness.ca/images/xxx3.php
http：//goldengvv*****.net/images/xxx3.php
http：//goodbcentv*****s.com/images/xxx3.php
http：//jammicom/i*****mages/xxx3.php
http：//kmold/imag****es/xxx3.php
http：//kokon/imagv*****es/xxx3.php
http：//komt.mages/*****xxx3.php
http：//magia/image*****s/xxx3.php
http：//merkuademiev.de/images/xxx3.php
http：//nakor.ru/htdv****ocs/img/xxx3.php
http：//optima.com/im*****ages/xxx3.php
http：//raz-n.wz.cz/h******tml/fanklub/xxx3.php
http：//redshu/images*****/xxx3.php
http：//sdom.mages/xx****x3.php
http：//spbsoimages/x***xx3.php
http：//tarka/images/****xxx3.php
http：//transtours.ru*****/img/xxx3.php
http：//www.iocionale*****s.com/images/xxx3.php
http：//www.ks-reisen*****.de/blog/images/colors/xxx3.php
http：//www.mwapartme*****nts.ru/images/_vti_cnf/xxx3.php
http：//www.pi.ru/ima*****ges/xxx3.php
http：//www.r.ch/imag*****es/xxx3.php
http：//www.zru/image*****s/xxx3.php
8、病毒尝试连接以下网站并下载ip列表：
http：//avistrade.ru/*****img/proizvod/blst.php
http：//mir-vesov.ru*****g/CVS/blst.php
http：//monomah-city.*****akans/blst.php
http：//pvcps.ru/im*****blst.php
http：//service6.val*****.ru/images/blst.php
http：//www.13tw22ri*****.de/_themes/kopie-von-fantasie-in-blau/blst.php
http：//trehrechie.r*****s/blst.php
http：//turnstylesti*****ng.com/images/blst.php
http：//twilightzon*****stro/blst.php
http：//vniipo.ru/im*****notes/blst.php
http：//voelckergmbh*****ages/blst.php
http：//vserozetki.*****es/blst.php
http：//vtr-spb.ru/*****bus/gazel/blst.php
http：//www.belteh.*****s/ludi/blst.php
http：//www.bmblawfi*****/images/blst.php
http：//www.enertel*****.com/playitsafe/images/blst.php
http：//www.enkor.r*****/blst.php
http：//www.g-antss*****images/icon/jpg/blog/blst.php
清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　　(1) 结束病毒进程。
　　(2) 删除病毒文件
　　　　%system%wintems.exe
　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
　　　　HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run\german.exe
　　　　键值: 字串: "C:\WINNT\System32\wintems.exe"
　　　　HKEY_USERS\Software\DateTime4\port
　　　　键值: DWORD: 3388 (0xd3c)

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+：
　 木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:　
    采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。