病毒标签

　　病毒名称： Email-Worm.Win32.Bagle.bo

　　中文名称： 白鸽

　　病毒类型： 邮件蠕虫

　　危害等级： 高

　　文件长度： 66,560 字节

　　感染系统： windows 98 以上版本

　　开发工具： Win32 ASM

　　加壳类型： Pex v 0.99

　　病毒描述

　　该病毒通过从感染主机上获取的 email 地址，发送病毒邮件，病毒以附件的形势存在。病毒邮件的标题，正文，附件名随机。感染后，会释放病毒体 %System%winshost.exe 和 %System%wiwshost.exe 。该病毒修改注册表，添加启动项目，删除某些安全软件及反病毒软件的注册表值。并能够终止某些安全软件及反病毒软件的进程。病毒内含一些恶意地址，病毒可通过这些地址下载并运行其中的恶意程序。同以前的 bagle 变种相似，该病毒依然修改 %System%driversetchosts 文件，当用户浏览某些反病毒及安全网站时，用户实际浏览的是 127.0.0.1 这个地址。该病毒对用户危害较大。

　　行为分析

　　1 、释放病毒体

　　%System%winshost.exe

　　%System%wiwshost.exe

　　2 、修改注册表

　　添加启动项目：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

　　KEY_LOCAL_MATHINESoftwareMicrosoftWindowsCurrentVersionRun

　　值 ： "winshost.exe" = "%System%winshost.exe"

　　删除 某些安全软件及反病毒软件的注册表值：

　　HKEY_LOCAL_MATHINESOFTWAREAgnitum

　　HKEY_LOCAL_MATHINESOFTWAREKasperskyLab

　　HKEY_LOCAL_MATHINESOFTWAREMcAfee

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunccApp

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunKAV50

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunZone Labs Client

　　HKEY_LOCAL_MATHINESOFTWAREPanda Software

　　HKEY_LOCAL_MATHINESOFTWARESymantec

　　HKEY_LOCAL_MATHINESOFTWAREZone Labs

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor

　　HKEY_LOCAL_MATHINESOFTWAREMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor

　　3 、通过修改系统 %System%driversetchosts 文件，当用户浏览某些安全及反病毒软件厂商的网站时，实际上连结到地址： 127.0.0.1

　　列表如下：

　　downloads1.kaspersky-labs.com

　　downloads2.kaspersky-labs.com

　　downloads3.kaspersky-labs.com

　　downloads4.kaspersky-labs.com

　　downloads-us1.kaspersky-labs.com

　　downloads-us2.kaspersky-labs.com

　　downloads-us3.kaspersky-labs.com

　　engine.awaps.net

　　update.symantec.com

　　updates.symantec.com

　　updates1.kaspersky-labs.com

　　updates1.kaspersky-labs.com

　　updates2.kaspersky-labs.com

　　updates3.kaspersky-labs.com

　　updates4.kaspersky-labs.com

　　updates5.kaspersky-labs.com

　　us.mcafee.com

　　viruslist.com

　　www.avp.com

　　www.mcafee.com

　　www.my-etrust.com

　　www.networkassociates.com

　　www.sophos.com

　　www.viruslist.com

　　www3.ca.com

　　engine.awaps.net

　　fastclick.net

　　f-secure.com

　　f-secure.com

　　ftp.avp.ch

　　ftp.downloads2.kaspersky-labs.co

　　ftp.f-secure.com

　　ftp.kasperskylab.ru

　　ftp.sophos.com

　　go.microsoft.com

　　kaspersky.com

　　kaspersky-labs.com

　　ids.kaspersky-labs.com

　　4 、 病毒邮件的标题p正文，附件名随机。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、-用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。