病毒标签
病毒名称: Email-Worm.Win32.Bagle.pac
中文名称: Bagle变种
病毒类型: 邮件蠕虫
危害等级: 中
文件长度: 9,728 字节
感染系统: windows 98及以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述
该病毒属邮件蠕虫类,病毒主要通过发送含有病毒附件的邮件传播。病毒还会从特定的URL列表中下载病毒相关文件到本地并运行。病毒运行后首先会在%temp%目录下释放病毒相关文件,而后复制自身到%system%下。修改注册表文件,达到随系统启动的目的。终止某些反病毒及安全软件的进程。修改%System%driversetchosts文件,阻止用户访问某些安全网站。
行为分析
1、释放病毒相关文件:%System%winshost.exe
2、修改注册表文件:
新建以下键值:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
键值:字串:winshost.exe = "%System%winshost.exe"
KLMSOFTWAREMicrosoftWindowsCurrentVersionRun
键值:字串:winshost.exe = "%System%winshost.exe"
尝试删除以下键值:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor
HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN
HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunKAV50
HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian
HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz
......
3、修改%System%driversetchosts文件:
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 my-etrust.com
......
4、尝试终止以下反病毒及安全软件的进程:
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
......
5、病毒还会查找本地硬盘,尝试重命名以下文件:
CM1Grdian.exe
Mcshield.exe
Mcsh1ield.exe
outpost.exe
kavmm.exe
kav12mm.exe
Up2Date.exe
Up222Date.exe
KAV.exe
K2A2V.exe
......
6、病毒主要通过发送含有病毒附件的邮件进行传播。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!