3月4日,瑞星全球反病毒监测网在国内率先截获“恶鹰”病毒的最新变种K—“恶鹰变种K(Worm.BBeagle.k)”,该病毒的特性如下:
一、病毒评估:
1.病毒危险等级:★★★☆
2.病毒类型:蠕虫病毒
3.病毒传播途径:网络/邮件
4.病毒依赖系统:WINDOWS NT/2000/XP
二、病毒特性:
1.该病毒将检测系统时间,当前时间大于2005年4月25号之后时病毒会删除自己在注册表里加的启动项。并退出(什么事也不做)
2.病毒运行时会将自己复制到%system%目录下,文件名为:winsys.exe,
3.病毒会在注册表HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入自己的键值ssate.exe。
4.病毒会建立几个线程分别执行病毒的破坏功能:
三、病毒破坏:
1.发送大量病毒邮件(线程1)。
病毒会搜索所有硬盘,并尝试在以下扩展名文件中搜索email地址并向这些地址发送带毒邮件。病毒搜索email地址的文件扩展名:wab,txt,msg,htm,xml,dbx,mdx,eml,nch,mmf,ods,cfg,asp,php,pl,adb,tbb,sht,uin,cgi。
病毒邮件的内容包括以下字符串。
E-mail account security warning,Notify about using the e-mail account,Warning about your e-mail account
Important notify about your e-mail account,Email account utilization warning
Notify about your e-mail account utilization,E-mail account disabling warning
Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by,a proxy-relay trojan server.
In order to keep your computer safe,..follow the instructions
For more information see the attached file,Further details can be obtained from attached file,
Advanced details can be found in attached file,For details see the attach,For details see the attached file
For further details see the attach..Please, read the attach for further details
Pay attention on attached file.
2.发送大量的病毒邮件(线程1)。
病毒运行时将会从以下扩展名:.xls,.jpg,.avi,.wma,.mp4,.mp3,.wav,.wab,.mht,.adb,.tbb,.uin .rtf.,dbx,.eml,.mmf,.nch,.mbx,.asp,.pl,.sht,.php.的文件中搜索有效的email地址(病毒将避开.edu结尾的email地址),并向这些地址发送病毒邮件。
3.感染目录(线程1)。
当病毒发现搜索的目录名中包含字串“shar”时会把自己的复本复制过去文件名为以下之一:
Microsoft Office 2003 Crack, Working!.exe,Microsoft Office XP working Crack, Keygen.exe ,Microsoft Windows XP, WinXP Crack, working Keygen.exe,Porno Screensaver.scr.Porno, sex, oral, anal cool, awesome!!.exe、Porno pics arhive, xxx.exe,Serials.txt.exe.Windown Longhorn Beta Leak.exe,Windows Sourcecode update.doc.exe,XXX hardcore images.exe,Opera 8 New!.exe.WinAmp 5 Pro Keygen Crack Update.exe,WinAmp 6 New!.exe,Matrix 3 Revolution English Subtitles.exe,Adobe Photoshop 9 full.exe,Ahead Nero 7.exe,ACDSee 9.exe
4.监听端口(线程2)。
病毒运行时会驻留内存并监听2745端口,当有联接时,根据传来的数据判别是否下载一个文件到%windows%目录下启动,从特定网站下载文件,自毁等操作。
5.结束进程。
病毒会结束有以下名称的内存进程:
ATUPDATER.EXE,AVWUPD32.EXE,AVPUPD.EXE,LUALL.EXE,DRWEBUPW.EXE,ICSSUPPNT.EXE,ICSUPP95.EXE,UPDATE.EXE,NUPGRADE.EXE,ATUPDATER.EXE,AUPDATE.EXE,AUTODOWN.EXE,AUTOTRACE.EXE,AUTOUPDATE.EXE,AVXQUAR.EXE,CFIAUDIT.EXE,MCUPDATE.EXE,NUPGRADE.EXE, OUTPOST.EXE,AVLTMAIN.EXE
6.联接网站。
病毒会尝试联接以下网址,并把一些信息,如端口号2745传上去。
http://***postertog.de/scr.php
http://***www.gfotxt.net/scr.php
http:/***/www.maiklibis.de/scr.php
四、病毒解决方案:
1.进行紧急升级。
瑞星公司将于3月4日当天进行紧急升级,升级后的软件版本号为16.16.11,该版本的瑞星杀毒软件可以彻底查杀“网络天空”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
2.使用专杀工具。
由于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到:http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载,并进行该病毒的清除。
3.使用在线杀毒和下载版。
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆:http://online.rising.com.cn/使用在线杀毒产品,或者登陆:http://go.rising.com.cn/使用下载版产品。
4.打电话求救。
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
五、安全建议:
1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。