国家计算机病毒应急处理中心通过监测,于2004年1月19日发现一个新型病毒Worm_Bbeagle.A(贝革热),病毒通过电子邮件进行传播,国内已有用户遭受了该病毒的感染。
国家计算机病毒应急处理中心提醒广大计算机用户及时升级杀毒软件和使用邮件防病毒网关,这样可以有效遏制病毒进一步传播。有关该病毒的详细信息如下。
病毒名称:“贝革热”(Worm_Bbeagle.A)
病毒类型:蠕虫
其它中文命名:“恶鹰”(瑞星)、“雏鹰”(江民)
感染系统:Windows 95/98/Me/NT/2000/XP
病毒长度:15,872字节,约16k
病毒特征:
病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。
1、生成病毒文件
病毒运行后,在%System%文件夹下生成自身的拷贝,名称为bbeagle.exe,长度为15,872字节,病毒文件的图标和计算器的图标类似。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加
d3dupdate.exe = "%System%\bbeagle.exe"
HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run 下添加
d3dupdate.exe = "%System%\bbeagle.exe"
病毒还会创建另外两个键值
HKEY_USERS\.DEFAULT\Software\Windows98, "uid" = "随机字符串"
HKEY_USERS\.DEFAULT\Software\Windows98, "frun" = "1"
3、通过电子邮件进行传播
病毒在被感染用户的系统内搜索所有扩展名为.wab,.txt,.htm,.html的文件,并从中寻找合法电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。但病毒不向包含以下字符串的邮件地址发送带毒邮件:
@hotmail.com
@msn.com
@microsoft
@avp
病毒发送的带毒电子邮件格式如下:
主题:Hi
附件:(随机字符串).exe,长度为15,872字节
内容:
Test =)
(随机字符串)
--
Test, yep.
收到带毒邮件的情况如图所示:
4、后门能力
该病毒在被感染的系统中打开端口6777进行侦听,以允许远程访问被感染的系统。
病毒为了更新,会尝试连接多个网站下的文件1.php,而实际上这些网站并不包含这个文件。(网站列表如下)
www.elrasshop.de
www.it-msc.de
www.getyourfree.net
www.dmdesign.de
64.176.228.13
www.leonzernitsky.com
216.98.136.248
216.98.134.247
www.cdromca.com
www.kunst-in-templin.de
vipweb.ru
antol-co.ru
www.bags-dostavka.mags.ru
www.5x12.ru
bose-audio.net
www.sttngdata.de
wh9.tu-dresden.de
www.micronuke.net
www.stadthagen.org
www.beasty-cars.de
www.polohexe.de
www.bino88.de
www.grefrathpaenz.de
www.bhamidy.de
www.mystic-vws.de
www.auto-hobby-essen.de
www.polozicke.de
www.twr-music.de
www.sc-erbendorf.de
www.montania.de
www.medi-martin.de
vvcgn.de
www.ballonfoto.com
www.marder-gmbh.de
www.dvd-filme.com
www.smeangol.com
5、设定病毒发作截至日期
病毒设定了自身运行的截止日期,2004年1月28日以后病毒就不再发作。这一点与去年出现的Worm_Sobig.C和Worm_Sobig.E相似。
手工清除该病毒的相关操作:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的进程“bbeagle.exe”,并终止其运行。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的d3dupdate.exe = "%System%\bbeagle.exe"
依次双击左侧的HKEY_USERS\.DEFAULT\Software\Windows98,并删除面板右侧的
"uid" = "随机字符串" 和 "frun" = "1"
3、删除病毒释放的文件
点击“开始——〉查找——〉文件和文件夹”,查找文件“bbeagle.exe”,并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
从病毒设定的发作截止日期我们看出,该病毒的运行时间主要在春节期间,这一时期很多用户会上网收发邮件,互致问候,病毒邮件就掺杂在其中迷惑用户。所以,用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。
目前,瑞星和趋势、江民公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。
应急中心还将继续监测该病毒的传播状况,并将结果及时上报。
|