20CN网络安全小组论坛 - 病毒专区 - 恶鹰变种AL(Worm.Beagle.al)病毒分析报告

论坛: 病毒专区标题: 恶鹰变种AL(Worm.Beagle.al)病毒分析报告

复制本贴地址

作者: lqfrla [lqfrla]

论坛用户

"恶鹰"变种AL(Worm.Beagle.al)病毒分析报告
2004年08月10日 19:05　金山毒霸信息安全网　
　　金山毒霸于8月10日率先在国内截获“恶鹰”变种AL蠕虫病毒。该病毒利用邮件疯狂传播，大量病毒邮件可能堵塞邮件服务器。病毒会注入所有的系统进程，增加处理难度和隐避性，并可下载新的病毒，危害增大。金山毒霸于当日紧急更新病毒库，升级病毒到2004年8月10日的最新病毒库可完全处理该病毒。病毒分析报告如下:

　　病毒信息㈠：

　　病毒名称: Worm.Beagle.al
　　中文名称: 恶鹰变种AL
　　威胁级别: 3C
　　发现日期: 2004.08.10
　　处理日期: 2004.08.10
　　病毒别名: I-Worm.Bagle.al [AVP]
　　　　　　　 W32/Bagle.aq@MM [McAfee]
　　　　　　　WORM_BAGLE.AC [Trend]
　　　　　　　 Win32.Bagle.AG [Computer Associates]
　　病毒类型: 蠕虫、木马
　　受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003

　　破坏方式：
　　A、使用自带的SMTP引擎大量发送病毒邮件，浪费大量网络资源，并可导致中小型邮件服务器极不稳定；
　　B、中止被感染系统中的大量安全软件，使系统安全性下降；
　　C、安装木马，木马下载病毒、留后门；
　　D、在每个文件夹中复制大量病毒复本，名字多为一些工具软件的名字，如果这些文件被共享出去，将使病毒具有利用局域网传播的能力。

　　发作现象: 利用QQ,通过网络传播

　　发作现象：（点击查看详情）

A、查找以下进程

FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
如果存在以关闭这此进程

B、尝试从以下网站下载病毒体并运行： http://polobeer.de/2.jpg http://r2626r.de/2.jpg http://kooltokyo.ru/2.jpg http://mmag.ru/2.jpg http://advm1.gm.fh-koeln.de/2.jpg http://evadia.ru/2.jpg http://megion.ru/2.jpg http://molinero-berlin.de/2.jpg http://dozenten.f1.fhtw-berlin.de/2.jpg http://shadkhan.ru/2.jpg http://sacred.ru/2.jpg http://kypexin.ru/2.jpg http://www.gantke-net.com/2.jpg http://www.mcschnaeppchen.com/2.jpg http://www.rollenspielzirkel.de/2.jpg http://134.102.228.45/2.jpg http://196.12.49.27/2.jpg http://aus-Zeit.com/2.jpg http://lottery.h11.ru/2.jpg http://herzog.cs.uni-magdeburg.de/2.jpg http://yaguark.h10.ru/2.jpg http://213.188.129.72/2.jpg http://thorpedo.us/2.jpg http://szm.sk/2.jpg http://lars-s.privat.t-online.de/2.jpg http://www.no-abi2003.de/2.jpg http://www.mdmedia.org/2.jpg http://abi-2004.org/2.jpg http://sovea.de/2.jpg http://www.porta.de/2.jpg http://matzlinger.com/2.jpg http://pocono.ru/2.jpg http://controltechniques.ru/2.jpg http://alexey.pioneers.com.ru/2.jpg http://momentum.ru/2.jpg http://omegat.ru/2.jpg http://www.perfectgirls.net/2.jpg http://porno-mania.net/2.jpg http://colleen.ai.net/2.jpg http://ourcj.com/2.jpg http://free.bestialityhost.com/2.jpg http://slavarik.ru/2.jpg http://burn2k.ipupdater.com/2.jpg http://carabi.ru/2.jpg http://spbbook.ru/2.jpg http://binn.ru/2.jpg http://sbuilder.ru/2.jpg http://protek.ru/2.jpg http://www.PlayGround.ru/2.jpg http://celine.artics.ru/2.jpg http://www.artics.ru/2.jpg http://www.laserbuild.ru/2.jpg http://www.lamatec.com/2.jpg http://www.sensi.com/2.jpg http://www.oldtownradio.com/2.jpg http://www.youbuynow.com/2.jpg http://64.62.172.118/2.jpg http://www.tayles.com/2.jpg http://dodgetheatre.com/2.jpg http://www.thepositivesideofsports.com/2.jpg http://www.bridesinrussia.com/2.jpg http://fairy.dataforce.net/2.jpg http://www.pakwerk.ru/2.jpg http://home.profootball.ru/2.jpg http://www.ankil.ru/2.jpg http://www.ddosers.net/2.jpg http://tarkosale.net/2.jpg http://www.boglen.com/2.jpg http://change.east.ru/2.jpg http://www.teatr-estrada.ru/2.jpg http://www.glass-master.ru/2.jpg http://www.zeiss.ru/2.jpg http://www.sposob.ru/2.jpg http://www.glavriba.ru/2.jpg http://alfinternational.ru/2.jpg http://euroviolence.com/2.jpg http://www.webronet.com/2.jpg http://www.virtmemb.com/2.jpg http://www.infognt.com/2.jpg http://www.vivamedia.ru/2.jpg http://www.zelnet.ru/2.jpg http://www.dsmedia.ru/2.jpg http://www.vendex.ru/2.jpg http://www.elit-line.ru/2.jpg http://pixel.co.il/2.jpg http://www.milm.ru/2.jpg http://dev.tikls.net/2.jpg http://www.met.pl/2.jpg http://www.strefa.pl/2.jpg http://kafka.punkt.pl/2.jpg http://www.rubikon.pl/2.jpg http://www.neostrada.pl/2.jpg http://werel1.web-gratis.net/2.jpg http://www.tuhart.net/2.jpg http://www.antykoncepcja.net/2.jpg http://www.dami.com.pl/2.jpg http://vip.pnet.pl/2.jpg http://www.webzdarma.cz/2.jpg http://emnesty.w.interia.pl/2.jpg http://niebo.net/2.jpg http://strony.wp.pl/2.jpg http://sec.polbox.pl/2.jpg http://www.phg.pl/2.jpg http://emnezz.e-mania.pl/2.jpg http://www.republika.pl/2.jpg http://www.silesianet.pl/2.jpg http://www.republika.pl/2.jpg http://tdi-router.opola.pl/2.jpg http://republika.pl/2.jpg http://infokom.pl/2.jpg http://silesianet.pl/2.jpg http://terramail.pl/2.jpg http://silesianet.pl/2.jpg http://www.iluminati.kicks-ass.net/2.jpg http://www.dilver.ru/2.jpg http://www.yarcity.ru/2.jpg http://www.scli.ru/2.jpg http://www.elemental.ru/2.jpg http://diablo.homelinux.com/2.jpg http://www.interrybflot.ru/2.jpg http://www.webpark.pl/2.jpg http://www.rafani.cz/2.jpg http://gutemine.wu-wien.ac.at/2.jpg http://przeglad-tygodnik.pl/2.jpg http://przeglad-tygodnik.pl/2.jpg http://pb195.slupsk.sdi.tpnet.pl/2.jpg http://www.ciachoo.pl/2.jpg http://cavalierland.5u.com/2.jpg http://www.nefkom.net/2.jpg http://rausis.latnet.lv/2.jpg http://www.hgr.de/2.jpg http://www.airnav.com/2.jpg http://www.astoria-stuttgart.de/2.jpg http://ultimate-best-hgh.0my.net/2.jpg http://wynnsjammer.proboards18.com/2.jpg http://www.jewishgen.org/2.jpg http://www.hack-gegen-rechts.com/2.jpg http://host.wallstreetcity.com/2.jpg http://quotes.barchart.com/2.jpg http://www.aannemers-nederland.nl/2.jpg http://www.sjgreatdeals.com/2.jpg http://financial.washingtonpost.com/2.jpg http://www.biratnagarmun.org.np/2.jpg http://hsr.zhp.org.pl/2.jpg http://traveldeals.sidestep.com/2.jpg http://www.hbz-nrw.de/2.jpg http://www.ifa-guide.co.uk/2.jpg http://www.inversorlatino.com/2.jpg http://www.zhp.gdynia.pl/2.jpg http://host.businessweek.com/2.jpg http://packages.debian.or.jp/2.jpg http://www.math.kobe-u.ac.jp/2.jpg http://www.k2kapital.com/2.jpg http://www.tanzen-in-sh.de/2.jpg http://www.wapf.com/2.jpg http://www.hgrstrailer.com/2.jpg http://www.forbes.com/2.jpg http://www.oshweb.com/2.jpg http://www.rumbgeo.ru/2.jpg http://www.dicto.ru/2.jpg http://www.busheron.ru/2.jpg http://www.omnicom.ru/2.jpg http://www.teleline.ru/2.jpg http://www.dynex.ru/2.jpg http://www.gamma.vyborg.ru/2.jpg http://nominal.kaliningrad.ru/2.jpg http://www.baltmatours.com/2.jpg http://www.interfoodtd.ru/2.jpg http://www.baltnet.ru/2.jpg http://www.neprifan.ru/2.jpg http://photo.gornet.ru/2.jpg http://www.aktor.ru/2.jpg http://catalog.zelnet.ru/2.jpg http://www.sdsauto.ru/2.jpg http://www.gradinter.ru/2.jpg http://www.avant.ru/2.jpg http://www.porsa.ru/2.jpg http://www.taom-clan.de/2.jpg http://www.perfectjewel.com/2.jpg http://www.vrack.net/2.jpg http://www.netradar.com/2.jpg http://www.pgipearls.com/2.jpg http://www.vconsole.net/2.jpg http://www.ccbootcamp.com/2.jpg http://host23.ipowerweb.com/2.jpg http://www.timelessimages.com/2.jpg http://www.peterstar.ru/2.jpg http://www.5100.ru/2.jpg http://www.gin.ru/2.jpg http://www.rweb.ru/2.jpg http://www.metacenter.ru/2.jpg http://www.biysk.ru/2.jpg http://www.free-time.ru/2.jpg http://www.rastt.ru/2.jpg http://www.chelny.ru/2.jpg http://www.chat4adult.com/2.jpg http://www.landofcash.net/2.jpg http://relay.great.ru/2.jpg http://www.kefaloniaresorts.com/2.jpg http://www.epski.gr/2.jpg http://www.myrtoscorp.com/2.jpg http://www.aphel.de/2.jpg http://www.intellect.lvc/2.jpg http://www.abcdesign.ru/2.jpg

C、尝试在以下扩展名文件中搜索邮件地址：
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

D、如果邮件地址含有以下字符，则不会发送：
@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

E、发送病毒文件

内容为：
New price

附件名为：
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price_08.zip
price_new.zip
price2.zip

F、开启 TCP80 UDP80 作为后门

G、尝试将自身复制到每个文件夹内，文件名可能为以下之一：
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

　　技术特点：（点击查看详情）

A、将自身复制到：
%System%\WINdirect.exe

B、生成以下文件：
%System%\_dll.exe (11776Bytes)
在注册表主键：
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加如下键值：
"win_upd2.exe"="%System%\WINdirect.exe"

C、从网上下载病毒

D、将自身复制到：
%SystemRoot%\WINDLL.EXE
%SystemRoot%\WINDLL.EXEOPEN
%SystemRoot%\WINDLL.EXEOPENOPEN

E、在注册表主键
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加
"erthgdr" = "%System%\windll.exe"

F、创建如下互斥体阻止NetSky运行
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

G、尝试在注册表主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除如下键值：
"9XHtProtect"
"Antivirus"
"EasyAV"
"FirewallSvr"
"HtProtect"
"ICQ Net"
"ICQNet"
"Jammer2nd"
"KasperskyAVEng"
"MsInfo"
"My AV"
"NetDy"
"Norton Antivirus AV"
"PandaAVEngine"
"SkynetsRevenge"
"Special Firewall Service"
"SysMonXP"
"Tiny AV"
"Zone Labs Client Ex"
"service"

H、创建以下注册表键：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n

　解决方案:

　　・请使用金山毒霸2004年8月10日的病毒库可完全处理该病毒；
　　・企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭；
　　・开启金山毒霸病毒防火墙可防止病毒入侵。

[此贴被地圣独行(lqfrla) 在 08月10日22时50分编辑过]

地主发表时间: 04-08-05 22:22

回复: TGV_Mic [tgv]

老大！没搞错吧？

B1层发表时间: 04-09-03 18:25

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写：NetDemon

粤ICP备05087286号