病毒 S O S 求救

病毒预报第一百零五期（2005.1.31- 2005.2.6）

    国家计算机病毒应急处理中心通过对互联网的监测，发现BAGLE出现又一变种。该变种通过邮件和网络进行传播，病毒驻留内存，打开后门，修改注册表，在系统目录下创建文件，还可以自动关闭杀毒软件的进程，删除掉与WORM_NETSKY变种相关的内容。
    国家计算机病毒应急处理中心提醒广大用户，留意该蠕虫的特征，遇到此类邮件立即删除，不要打开运行。

病毒名称：WORM_BAGLE.AZ
其它英文命名：Win32.Bagle.AU（Computer Associates），
              Email-Worm.Win32.Bagle.ay（Kaspersky Lab），
              W32/Bagle.bk@MM（McAfee），
              WORM_BAGLE.AZ（Trend Micro），
              W32.Beagle.AY@mm（Symantec）
感染系统：Windows 2000， Windows 95， Windows 98，
          Windows Me， Windows NT， Windows XP
病毒长度：19，000字节
病毒特征：

    该变种通过邮件和网络进行传播，病毒驻留内存，打开后门，修改注册表，在系统目录下创建文件。

1、生成病毒文件
    在%Windows％目录下生成sysformat.exe、
sysformat.exeopen、 sysformat.exeopenopen。（其中，%Windows% 是Windows的默认文件夹，通常是 C:\Windows 或 C:\WINNT）

2、修改注册表项
   病毒创建注册表项，使得自身能够在系统启动时自动运行，病毒会添加如下注册选项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
sysformat = "%System%\sysformat.exe"
   病毒还会创建如下注册选项：
HKEY_CURRENT_USER\Software\Microsoft\Params
riga = "<随机十六进制数值>"

3、通过电子邮件传播
   该病毒利用自带的SMTP引擎发送带毒邮件。病毒会从被感染计算机收集邮件地址，并将自身作为附件向外发送带毒电子邮件。病毒邮件使用虚假的发件人地址，使之看上去像是从熟悉的地址发来的，用以迷惑用户，同时会跳过含有特定字符串的邮件地址。

病毒所发送的电子邮件有特征如下：

主题: (其中之一)
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help

正文: (其中之一)
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help

附件: (其中之一)
guupd02.exe
Jol03.exe
siupd02.exe
upd02.exe
viupd02.exe
wsd01.exe
zupd02.exe

使用如下扩展名：
COM
CPL
EXE
SCR

4、通过网络共享传播
   病毒会在网络中搜索名称中带有"shar"字符串的共享文件夹，找到后会在其中生成如下自身拷贝：
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

专家提醒：

1、很多病毒发作后，会破坏一些系统文件，导致在Window环境下无法杀毒，所以制作系统启动应急盘是非常必要的，因为一旦硬盘分区表遭到破坏，只能使用软盘启动，如果提前制作了应急盘，可使用备份的分区表文件直接恢复，这样挽救数据的可能性会增加很多。目前的杀毒软件都提供此项功能，而且在软件安装过程中会要求用户进行该项操作，此时不能跳过此步骤。

2、计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒在更大范围内传播，造成更严重的危害。由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。

3、提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙，做好预防工作。

　

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487
电子邮件：sos@antivirus-China.org.cn
         security@tj.cnuninet.net