病毒标签

　　病毒名称： Email-Worm.Win32.Bagle.ax

　　中文名称： 白鸽变种

　　病毒类型： 邮件蠕虫

　　危害等级： 高

　　文件长度： 18,770 字节

　　感染系统： windows 98 及以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： Pex v0.99b

　　病毒描述

　　该白鸽变种通其他变种比较类似，主要通过email、p2p和网络共享来传播。病毒还会修改注册表文件，复制自身到%system32%下。其中，病毒在通过搜索感染主机中指定扩展名文件里的email地址时，若遇到某些邮件服务器的email地址则不会发送，病毒的邮件主体，附件也都是随机选取的。

　　行为分析

　　1、修改注册表文件：

　　添加到启动项目：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

　　值：字串："Sysformat" = "%System%sysformat.exe"

　　修改如下：

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{01E04581-4EEE-11d0-BFE9-00AA005B4383}MenuTextPUI

　　Old value: 字串: "@browselc.dll,-13137"

　　New value: 字串: "@browselc.dll,-13137@2052,地址(&A)"

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{0E5CBF21-D15F-11d0-8301-00AA005B4383}MenuTextPUI

　　Old value: 字串: "@browselc.dll,-13138"

　　New value: 字串: "@browselc.dll,-13138@2052,链接(&L)"

　　2、释放病毒文件到系统目录下，并在系统进程中加入msiexec.exe

　　%System%sysformat.exe

　　%System%sysformat.exeopen

　　%System%sysformat.exeopenopen

　　3、病毒通过搜索某些扩展名的文件获取email地址，扩展名如下：

　　adb dbx jsp asp dhtm mbx cfg eml mdx cgi htm mht

　　mmf pl uin msg sht wab nch shtm wsh ods stm xls

　　oft tbb xml php txt

　　4、邮件主体、附件名、邮件正文从病毒内置的串中随机选择。具体内容，同Email-Worm.Win32.Bagle.ay一样。

　　5、病毒还可以通过p2p软件，共享传播。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。