贝革热”病毒在近期出现了变种Worm_Bbeagle.AI，近期传播较为广泛的仍然是电子邮件蠕虫病毒。

　　病毒名称：“贝革热”变种（Worm_Bbeagle.AI）

　　其它命名：Win32.Bagle.AI（CA）
　　　　　　　Worm.Beagle.ai（金山）
　　　　　　　WORM_BAGLE.AH（Trend）
　　　　　　　Win32/Bagle.AH.Worm
　　　　　　　I-Worm.Bagle.ai（Kaspersky）
　　　　　　　W32/Bagle.ai@MM （McAfee）
　　　　　　　W32.Beagle.AG@mm （Symantec）
　　　　　　　Worm.Bbeagle.ao（瑞星）
　　　　　　　W32/Bagle-AI （Sophos）

　　病毒类型：蠕虫
　　感染系统：Windows 95/98/Me/NT/2000/XP/2003

　　病毒特性：
　　病毒以染毒邮件的附件形式到达，需要用户手工运行才能发作和传播。病毒附件可能是一个带有口令的.ZIP文件，其密码就在邮件之中，或者是扩展名为.EXE， .SCR，.COM或.CPL的文件。提醒用户遇到此类邮件不要打开，应立即删除。病毒运行后在系统文件夹下生成多个病毒文件，修改注册表，以达到自启动的目的。另外，病毒可通过网络共享进行传播，终止一些安全相关的软件的运行，同时具有后门功能。

　　1、生成病毒文件
　　该病毒运行后可常驻内存，并在%system%文件夹中生成多个自身拷贝，名称如下：winxp.exe
　　winxp.exeopen
　　winxp.exeopenopen
　　winxp.exeopenopenopen
　　winxp.exeopenopenopenopen
　　（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）

　　2、修改注册表
　　病毒修改注册表，以达到随系统启动而自动运行的目的，在
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建：
　　key = "%System%\winxp.exe"
　　
　　3、删除注册表键值
　　病毒从注册表的以下目录中删除一些包含特定字符的键值
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　包含的特定字符如下：
　　9XHtProtect
　　Antivirus
　　EasyAV
　　FirewallSvr
　　HtProtect
　　ICQ Net
　　ICQNet
　　Jammer2nd
　　KasperskyAVEng
　　MsInfo
　　My AV
　　NetDy
　　Norton Antivirus AV
　　PandaAVEngine
　　service
　　SkynetsRevenge
　　Special Firewall Service
　　SysMonXP
　　Tiny AV
　　Zone Labs Client Ex
　　
　　4、通过电子邮件进行传播
　　病毒使用自身的SMTP引擎进行传播。病毒会从特定扩展名的文件中收集邮件地址，并会略过含有特定字符串的邮件地址。

　　病毒发送的邮件格式如下：
　　主题：
　　Re:
　　正文：（为下列之一）
　　foto3 and MP3
　　fotogalary and Music
　　fotoinfo
　　Lovely animals
　　Animals
　　Predators
　　The snake
　　Screen and Music
　　
　　附件：（为下列之一）
　　Cat
　　Cool_MP3
　　Dog
　　Doll
　　Fish
　　Garry
　　MP3
　　Music_MP3
　　New_MP3_Player

　　邮件附件可使用如下的扩展名：
　　.exe
　　.scr
　　.com
　　.cpl
　　.zip （附件的扩展名为.ZIP时，附件带有密码保护）

　　5、通过共享传播
　　在利用网络共享进行传播方面，病毒会在名称中含有“shar”字符串的文件夹中生成以文件名特定命名的自身拷贝。名称可能为下列之一：
　　ACDSee 9.exe
　　Adobe Photoshop 9 full.exe
　　Ahead Nero 7.exe
　　Kaspersky Antivirus 5.0
　　KAV 5.0
　　Matrix 3 Revolution English Subtitles.exe
　　Microsoft Office 2003 Crack, Working!.exe
　　Microsoft Office XP working Crack, Keygen.exe
　　Microsoft Windows XP, WinXP Crack, working Keygen.exe
　　Opera 8 New!.exe
　　Porno pics arhive, xxx.exe
　　Porno Screensaver.scr
　　Porno, sex, oral, anal cool, awesome!!.exe
　　Serials.txt.exe
　　WinAmp 5 Pro Keygen Crack Update.exe
　　WinAmp 6 New!.exe
　　Windown Longhorn Beta Leak.exe
　　Windows Sourcecode update.doc.exe
　　XXX hardcore images.exe

　　6、后门功能
　　病毒具有后门能力。病毒可打开TCP和UDP的任意端口以侦听发自远程用户的命令。

　　7、其它
　　病毒在传播时间上给自身做了限制，当系统日期为2006年5月5日或以后时，病毒会终止自身的运行，并会删除其在注册表中创建的自启动项，但其生成的病毒拷贝仍残留在系统内，不会被删除。

　　清除该病毒的建议：
　　由于该病毒在传播时间上给自身做了限制，所以可先将系统日期修改为2006年5月5日以后，在进行杀毒工作。

　　1、终止病毒进程
　　在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE
　　在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC
　　选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。

　　2、注册表的恢复
　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的key = "%System%\winxp.exe"

　　3、删除病毒文件
　　点击"开始--〉查找--〉文件和文件夹"，查找“winxp.exe”、“winxp.exeopen”、“winxp.exeopenopen”、“winxp.exeopenopenopen”、“winxp.exeopenopenopenopen”，将找到的文件删除。

　　4、运行杀毒软件对系统进行全面的病毒查杀

　　本周发作：
　　病毒名称：“魔爪”（WM_Talon.B）
　　病毒类型：宏病毒
　　发作日期：7月27日
　　危害程度： 给保存的Word文档设置密码为“talon”，并显示如下信息“Warning Your document Has Just been Been Saved， I Hope You Know The Password!!!， Brought To You By Talon 1997”（中文意思为：当心你刚刚保存的文档，希望你知道它的密码！）

　　病毒名称：TROJ_UCF.A
　　病毒类型：特洛伊木马
　　发作日期：7月28日
　　危害程度：病毒会覆盖硬盘的部分扇区。

　　专家提醒：

　　1、对系统和重要数据做好备份，而且在本机备份外，最好同时做异地备份，如备份在其它机器、光盘或移动硬盘上，并确保备份的安全性。

　　2、现在，很多网络病毒就通过猜测简单密码的方式对系统进行攻击，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全系数。

　　3、了解基本的病毒知识，关注流行病毒的特征，学习应对病毒发作的基本操作。通过学习就可以及时发现新病毒并采取相应措施，保护的计算机系统的安全免受病毒侵害。