|
 | 作者: DaemonTools [a7611679_]
 论坛用户 |
登录 |
| 国家计算机病毒应急处理中心通过对互联网的监测,发现了“贝革热”病毒的新变种Worm_Bagle.Be,应急中心对该病毒变种进行了分析处理发现,这种该病毒变种比早期的变种更具有危害性。该病毒通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。该变种会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站,还会使受感染的机器从指定的资源服务器上主动下载并执行病毒文件。 蠕虫详细信息如下: 病毒名称: Worm_Bagle.Be 病毒类型: 蠕虫 感染系统:Windows 95/98/Me/NT/2000/XP 病毒长度:34,304 Bytes 病毒特性: 病毒通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。 1、生成病毒文件 病毒运行后,在%System%文件夹下生成名为WIWSHOST.EXE和其自身拷贝WINSHOST.EXE。其中文件WIWSHOST.EXE会自身释放文件WINSHOST.EXE到系统目录下,并将WINSHOST.EXE插入到EXPLORER.EXE进程中。(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)。 2、修改注册表项 病毒添加注册表项,使得自身能够在系统启动时自动运行,在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run添加 winshost.exe ="%System%\winshost.exe" 和在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加 winshost.exe = "%System%\winshost.exe" (其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32) 3、通过电子邮件进行传播 病毒通过电子邮件进行传播,病毒邮件附件是a.zip压缩文件,计算机用户点击就会感染计算机系统。 4、中止应用进程 该病毒会在被感染的系统中中止一些反病毒软件和安全的应用进程 5、删除注册表键值 该病毒会释放文件WIWSHOST.EXE删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的一些键值。 该病毒还会删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的键值Zone Labs Client。 6、后门程序 该病毒具有后门功能,打开并监听tcp端口80,允许恶意用户用特定密码登陆并控制受感染的系统。该病毒还会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站,还会使受感染的机器从指定的资源服务器上主动下载并执行病毒文件。 专家提醒: 1、计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。 2、提醒广大计算机用户升级杀毒软件,启动“实时监控”和“个人防火墙”,做好预防工作。 |
| 地主 发表时间: 05-03-12 19:35 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 贝革热”病毒的新变种Worm_Bagle.Be