论坛: 病毒专区 标题: 关于“贝革热”(Worm_Bbeagle.J)的情况报告 复制本贴地址    
作者: abctm [abctm]    版主   登录
关于“贝革热”(Worm_Bbeagle.J)的情况报告

 
    国家计算机病毒应急处理中心通过监测,于2004年3月2日发现“贝革热” 病毒一个新变种Worm_Bbeagle.J,该变种已经在美国、加拿大等地传播,并且已经在我国出现。
    国家计算机病毒应急处理中心提醒广大计算机用户升级杀毒软件,启动“实时监控”,做好病毒的预防工作。

    有关该病毒的详细信息如下。

病毒名称:“贝革热”变种(Worm_Bbeagle.J)

其它中文命名:“恶鹰”变种I(金山)、“恶鹰”(瑞星)

其它英文命名:W32/Bagle.j@MM (McAfee)

            WORM_BAGLE.J (Trend Micro)

            I-Worm.Netsky.d (Kaspersky)

            Win32.Bagle.J (Computer Associates)

            W32/Bagle-J (Sophos)

病毒类型:蠕虫

感染系统:Windows 95/98/Me/NT/2000/XP

病毒长度:字节

病毒特征:12,288字节

    病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。

1、生成病毒文件

    病毒运行后,在%System%文件夹下生成自身的拷贝,名称为irun4.exe。

    病毒还在%system%文件夹下生成irun4.exeopen,该文件是一个加过密的.zip文件包,其内容为病毒代码,密码是随机生成的。

(其中,%System%在Windows 95/98/Me 下为C:,在Windows NT/2000下为C:,
在Windows XP下为 C:)

2、修改注册表项

    病毒添加注册表项,使得自身能够在系统启动时自动运行,在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加"ssate.exe"="%System%.exe"

3、通过电子邮件进行传播

    病毒在被感染用户的系统内搜索以下扩展名的文件,寻找电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。

.wab、.txt、.msg、.htm、.xml、.dbx、.mdx、.eml、.nch、.mmf、

.ods、.cfg、.asp、.php、.pl、.adb、.tbb、.sht、.uin、.cgi

    同时,病毒会避免发送病毒邮件到包含下列字符串的邮件地址:

@hotmail.com

@msn.com

@microsoft

@avp.

noreply

local

root@

postmaster@

病毒发送的带毒电子邮件格式如下:

发件人:(为下列之一),其中< recipient domain> 为邮件接收者邮件服务器的域,例如,如果邮件接收者的电子邮件地址为tjbj@163.net,< recipient domain>就为163.net。

management@<recipient domain>

administration@<recipient domain>

staff@<recipient domain>

noreply@<recipient domain>

support@<recipient domain>

主题:(为下列之一)

E-mail account disabling warning.

E-mail account security warning.

Email account utilization warning.

Important notify about your e-mail account.

Notify about using the e-mail account.

Notify about your e-mail account utilization.

Warning about your e-mail account.

内容:相对于同期出现的病毒,该变种的内容较多,可能为下列几部分字符串的任意组合。

第一部分:

(1)Dear user of <domain>,

(2)Dear user of <domain> gateway e-mail server,

(3)Dear user of e-mail server "<domain>",

(4)Hello user of <domain> e-mail server,

(5)Dear user of "<domain>" mailing system,

(6)Dear user, the management of <domain> mailing system wants to let you know that,

第二部分:

(1)Your e-mail account has been temporary disabled because of unauthorized access.

(2)Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.

(3)Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.

(4)We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.

(5)Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.

(6)Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

第三部分:

(1)For more information see the attached file.

(2)Further details can be obtained from attached file.

(3)Advanced details can be found in attached file.

(4)For details see the attach.

(5)For details see the attached file.

(6)For further details see the attach.

(7)Please, read the attach for further details.

(8)Pay attention on attached file.

第四部分:<domain> 为邮件服务器的域,如163.net

The <domain> team http://www.<domain>

第五部分:

(1)The Management,

(2)Sincerely,

(3)Best wishes,

(4)Have a good day,

(5)Cheers,

(6)Kind regards,

第六部分:如果病毒邮件的附件为.zip文件,病毒邮件还包含下列字符串之一。其中"<password>"是五位随机数字,为病毒邮件.zip附件的密码。

(1)For security reasons attached file is password protected. The password is "<password>".

(2)For security purposes the attached file is password protected. Password is "<password>".

(3)Attached file protected with the password for security reasons. Password is <password>.

(4)In order to read the attach you have to use the following password: <password>.

附件:附件名称为下列之一,扩展名位.zip或.pif

Attach

Information

Readme

Document

Info

TextDocument

TextFile

MoreInfo

Message

4、通过网络共享进行传播

    病毒搜索包含字符串“shar” 的文件夹中,在找到的文件夹下生成病毒文件的副本,并通过网络共享进行传播,病毒文件名字如下:

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Matrix 3 Revolution English Subtitles.exe

Microsoft Office 2003 Crack, Working!.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Opera 8 New!.exe

Porno pics arhive, xxx.exe

Porno Screensaver.scr

Porno, sex, oral, anal cool, awesome!!.exe

Serials.txt.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

Windows Sourcecode update.doc.exe

XXX hardcore images.exe

5、后门能力

    病毒在被感染的系统中打开TCP端口2745进行监听,以允行攻击者向该端口发送信息,并自动下载新的程序到受感染系统的%Windir%目录中,名字为iuplda<x>.exe,其中<x>为随机字符。

    这有可能成为新病毒传播的一个途径。

    病毒通过TCP端口80,发送HTTP GET 请求到下列网址,并通过此种方式来获得受感染系统的IP地址和打开的端口号。

postertog.de www.gfotxt.net www.maiklibis.de

7、终止进程

  病毒会终止以下进程,来阻止和扰乱反病毒软件的升级,是用户的反病毒软件无法处理最新病毒。

Atupdater.exe

Aupdate.exe

Autodown.exe

Autotrace.exe

Autoupdate.exe

Avltmain.exe

Avpupd.exe

Avwupd32.exe

Avxquar.exe

Cfiaudit.exe

Drwebupw.exe

Icssuppnt.exe

Icsupp95.exe

Luall.exe

Mcupdate.exe

Nupgrade.exe

Outpost.exe

Update.exe

手工清除该病毒的相关操作:

1、终止病毒进程

    在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器--〉进程”,选中正在运行的进程“irun4.exe”,并终止其运行。

2、注册表的恢复

    点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"ssate.exe"="%System%.exe"

3、删除病毒释放的文件

    点击“开始--〉查找--〉文件和文件夹”,查找文件“irun4.exe”和“irun4.exeopen”,并将找到的文件删除。

4、运行杀毒软件,对系统进行全面的病毒查杀

    用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。

    目前,金山、瑞星公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。


国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址:Http://www.antivirus-China.org.cn
电  话:022-66211488/66211489/66211490
传  真:022-66211487
电子邮件:security@tj.cnuninet.net




地主 发表时间: 04-04-03 17:38
回复: z7 [skyzz]   论坛用户   登录
现在的病毒好像写的越来越没有什么新的了
不外乎是
邮件传染 (我每天都收到这毒的邮件 真是奇怪)
局域网共享传染
开个后门
或是自动发数据

B1层 发表时间: 04-04-03 18:58
回复: snowred [snowred]   论坛用户   登录
我关心的是有没有病毒的利用程序

B2层 发表时间: 04-04-03 19:55
回复: chiru [chiru]   论坛用户   登录
同意楼上,要是可以溢出就好了。

B3层 发表时间: 04-04-03 20:01

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号