病毒运行后,在%System%文件夹下生成自身的拷贝,名称为irun4.exe。 病毒还在%system来自%文件夹下生成irun4.exeopen,该文件是一个加过密的。zi360百科p文件包,其内容为病毒代码,密码是随机生成的。 (其中,%System%在Windows 95/98/Me 下为C:,在Windows NT/2000下为C:, 在Windo土谁青围反需曾ws XP下为 C:)
贝革热(Bagle,2004年)
该病毒通过电子邮件进行传播,运行后顺,在系统目录下生成自身的拷贝,修改注册表键值。病毒同来自时具有后门能力。2004年1月18日爆发,给全球带来数千万美元损失
关于"贝革热"(Worm_Bbeagle.J)织亚父视导的情况报告
国家计算机病毒应急处理中心通过监测,于2004年3月2日发现"贝革热" 病毒一个新变种Worm_Bbeagle.J,该变种已经在美国、加拿大等地传播,并袁止批且已经在中国出现。
国家计算机病毒应急处理360百科中心提醒广大计算机用户升级杀毒软件,启动"实时监控",做好病毒的预防工作。
病毒名称:"贝革热"变娘获委翻药破种(Worm_Bbeagle.J)
其它中文命名:"恶鹰"变种I(金山)、"恶鹰"(瑞星)
其它英文命名:W32/Bagle.j@MM (M须cAfee)
WORM武脚形方阶来师刚_BAGLE.J (Tr剂夫end Micro)
I-Worm.Netsky.d (Kaspersky)
南护 Win32.Bagle.J (Computer Associates)
W32/Bagle-J (与液突Sophos)
病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP
病毒长度:送良干题井知初措字节
病毒特征药烈林套:12,288字节
病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。
病毒运行后,在%System%文件夹下生成自身的拷贝,名称为irun4.exe。
病毒还在%system%文件夹下生成irun4.exeopen,该文件是来自一个加过密的.zip文件包,其360百科内容为病毒代码,密码是随机烈酒诉掉编给水立生成的。
(其中,%Sys粒今我基消官祖属tem%在Windows 95既够/98/Me 下为C:,在W乱太烈级丰希结关脱室缩indows NT/2000下为C:,
在Windows XP下为 C令别部款再机亮镇溶想随:)
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
病毒在被感染用户的系统内搜索以下扩展名办位基剂式的文件,寻找电子邮件地址,并局京法异内改儿使用的自带的SMTP向这些地址发送带毒的电子邮件。
.wab、.txt、.msg、.htm、.xml、.dbx担能呼矛相职重、.mdx、.eml、.读职场个入路行故帮且谁nch、.mmf、
.ods、.cfg、.难一构也这叶校asp、.php、.pl、.评率八被牛难治adb、.tbb、.s交ht、.uin、.cgi
同时,病毒会避免发送病毒邮件到包含下列字符串的邮件地址:
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
病毒发送的带毒电子邮件格式如下
发件人
(为下列之一微院任孙),其中< recipient domain> 为邮件接收者邮件服务器的域,例如,如果邮件接收者的电子邮件川课批养经地址为tjbj@163.net,< rec你ipient domain>;就为163.net。
management@<recipient domain>
administr关斗被席随ation@<re宗介cipient domai植掌使讨脸细降范n>
staff@<recipient domain>
noreply@<recipient domain>
support@<recipient domain>
主题
(为下列之一)
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.
内容
相对于同期出现的病毒,该变种的内容较多,可能为下列几部分字符串的任意组合。
第一部分
⑴Dear user of <domain>,
⑵Dear user of <domain> gateway e-mail server,
⑶Dear user of e-mail server "<domain>",
⑷Hello user of <domain> e-mail server,
⑸Dear user of "<domain>" mailing system,
⑹Dear user,the management of <domain> mailing system wants to let you know that,
第二部分
⑴Your e-mail account has been temporary disabled because of unauthorized access.
⑵Our main mailing server will be temporary unavaible for next two days,to continue receiving mail in these days you have to configure our free auto-forwarding service.
⑶Your e-mail account will be disabled because of improper using in next three days,if you are still wishing to use it,please,resign your account information.
⑷We warn you about some attacks on your e-mail account. Your computer may contain viruses,in order to keep your computer and e-mail account safe,please,follow the instructions.
⑸Our antivirus software has detected a large ammount of viruses outgoing from your email account,you may use our free anti-virus tool to clean up your computer software.
⑹Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably,you have been infected by a proxy-relay trojan server. In order to keep your computer safe,follow the instructions.
第三部分
⑴For more information see the attached file.
⑵Further details can be obtained from attached file.
⑶Advanced details can be found in attached file.
⑷For details see the attach.
⑸For details see the attached file.
⑹For further details see the attach.
⑺Please,read the attach for further details.
⑻Pay attention on attached file.
第四部分
<domain> 为邮件服务器的域,如163.net
The <domain> team http://www.<domain>
第五部分
⑴The Management,
⑵Sincerely,
⑶Best wishes,
⑷Have a good day,
⑸Cheers,
⑹Kind regards,
第六部分
如果病毒邮件的附件为.zip文件,病毒邮件还包含下列字符串之一。其中"<password>"是五位随机数字,为病毒邮件.zip附件的密码。
⑴For security reasons attached file is password protected. The password is "<password>".
⑵For security purposes the attached file is password protected. Password is "<password>".
⑶Attached file protected with the password for security reasons. Password is <password>.
⑷In order to read the attach you have to use the following password: <password>.
附件
附件名称为下列之一,扩展名位.zip或.pif
Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message
病毒搜索包含字符串"shar" 的文件夹中,在找到的文件夹下生成病毒文件的副本,并通过网络共享进行传播,病毒文件名字如下:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack,Working!.exe
Microsoft Office XP working Crack,Keygen.exe
Microsoft Windows XP,WinXP Crack,working Keygen.exe
Opera 8 New!.exe
Porno pics arhive,xxx.exe
Porno Screensaver.scr
Porno,sex,oral,anal cool,awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
病毒在被感染的系统中打开TCP端口2745进行监听,以允行攻击者向该端口发送信息,并自动下载新的程序到受感染系统的%Windir%目录中,名字为iuplda<x>.exe,其中<x>;为随机字符。
这有可能成为新病毒传播的一个途径。
病毒通过TCP端口80,发送HTTP GET 请求到下列网址,并通过此种方式来获得受感染系统的IP地址和打开的端口号。
postertog.de
www.gfotxt.net
www.maiklibis.de
病毒会终止以下进程,来阻止和扰乱反病毒软件的升级,是用户的反病毒软件无法处理最新病毒。
Atupdater.exe
Aupdate.exe
Autodown.exe
Autotrace.exe
Autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
Outpost.exe
Update.exe
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"irun4.exe",并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"ssate.exe"="%System%.exe"
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"irun4.exe"和"irun4.exeopen",并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。
目前,金山、瑞星公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。
关注微信