病毒标签

　　病毒名称： Email-Worm.Win32.Bagle.pac

　　中文名称： Bagle变种

　　病毒类型： 邮件蠕虫

　　危害等级： 中

　　文件长度： 9,728 字节

　　感染系统： windows 98及以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： 未知壳

　　病毒描述

　　该病毒属邮件蠕虫类，病毒主要通过发送含有病毒附件的邮件传播。病毒还会从特定的URL列表中下载病毒相关文件到本地并运行。病毒运行后首先会在%temp%目录下释放病毒相关文件，而后复制自身到%system%下。修改注册表文件，达到随系统启动的目的。终止某些反病毒及安全软件的进程。修改%System%driversetchosts文件，阻止用户访问某些安全网站。

　　行为分析

　　1、释放病毒相关文件：%System%winshost.exe

　　2、修改注册表文件：

　　新建以下键值：

　　 HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun

　　 键值：字串：winshost.exe = "%System%winshost.exe"

　　 KLMSOFTWAREMicrosoftWindowsCurrentVersionRun

　　 键值：字串：winshost.exe = "%System%winshost.exe"

　　尝试删除以下键值：

　　HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor

　　HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN

　　HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunKAV50

　　HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian

　　HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz

　　......

　　3、修改%System%driversetchosts文件：

　　 127.0.0.1 www.ca.com

　　 127.0.0.1 ca.com

　　 127.0.0.1 my-etrust.com

　　 ......

　　4、尝试终止以下反病毒及安全软件的进程：

　　 AUTOUPDATE.EXE

　　 AVPUPD.EXE

　　 AVWUPD32.EXE

　　 AVXQUAR.EXE

　　 CFIAUDIT.EXE

　　 DRWEBUPW.EXE

　　 ESCANH95.EXE

　　 ESCANHNT.EXE

　　 FIREWALL.EXE

　　 ......

　　5、病毒还会查找本地硬盘，尝试重命名以下文件：

　　 CM1Grdian.exe

　　 Mcshield.exe

　　 Mcsh1ield.exe

　　 outpost.exe

　　 kavmm.exe

　　 kav12mm.exe

　　 Up2Date.exe

　　 Up222Date.exe

　　 KAV.exe

　　 K2A2V.exe

　　 ......

　　6、病毒主要通过发送含有病毒附件的邮件进行传播。

　　注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。