恶鹰变种AT病毒分析报告-恶鹰变种AT-小新技术网xker.com

首页	\| 页界资讯	\| 网络应用	\| 软件应用	\| 组网技术	\| 网络原理	\| 聊天通讯	\| 网管知识	\| 帮助
笑话	\| 操作系统	\| 注册表	\| 编程开发	\| 数据库	\| 媒体动画	\| 网页设计	\| 图形图象	\| 地图
论坛	\| 网络安全	\| 安全防范	\| 服务器	\| 硬件学堂	\| 路由技术	\| 搜索研究	\| 站长经验	\| 投稿
影院	\| 教育频道	\| 特色专题	\| 精文荟萃	\| 注册码	\| 论坛社区	\| 网站地图	\| 广告服务	\| 旧版

设为首页

加入收藏

当前位置：首页>>文章>>网络安全>>安全防范>>正文

恶鹰变种AT病毒分析报告

www.xker.com 作者：来源：金山毒霸加入日期：2006-3-9 10:09:44

【问题提问、论坛交流】

病毒名称: Worm.Beagle.at

中文名称: 恶鹰变种at

病毒别名: I-Worm.Bagle.at[AVP]

病毒长度: 17924

威胁级别: 三级

病毒类型: 蠕虫

受影响系统: WinNT/Win2000/WinXP/Windows2003

发现时间: 2004年10月29日

病毒简介：

该病毒通过邮件进行传播，用户运行邮件附件后，会尝试关闭计算机内的反病毒软件，并从网上下载一个后门。该蠕虫，还会在受感染的机器的文件中搜索电子邮件，并向搜索到的地址发送邮件。诱惑用户打开运行病毒程序。该病毒会向外发送大量的带毒邮件，严重的堵塞用户网络。建议用户开启防火墙来防止该病毒的侵入。

技术特点:

1.创建以下几个互斥量来防止NetSky病毒运行：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

2.在被感染的机器上创建以下文件：

%System%\bawindo.exe

%System%\bawindo.exeopen

%System%\bawindo.exeopenopen

%System%\re_file.exe

3.在注册表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中

增加"wingo"="%System%\wingo.exe"来确保自身能随计算机启动

4.从HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除包含以下字符串的键值：

My AV

Zone Labs Client Ex

9XHtProtect

Antivirus

Special Firewall Service

service

Tiny AV

ICQNet

HtProtect

NetDy

Jammer2nd

FirewallSvr

MsInfo

SysMonXP

EasyAV

PandaAVEngine

Norton Antivirus AV

KasperskyAVEng

SkynetsRevenge

ICQ Net

5.在包含"shar"字符串的目录下创建文件，文件名可能为下列字符：

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

6.搜索以下列字符串为扩展名的文件来获得Email地址，并用自带的SMTP引擎发送带毒邮件

.adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml

7.病毒发送的带毒邮件具有如下特征：

发件人：伪造的

主题：

Re:

Re: Hello

Re: Thank you!

Re: Thanks :)

Re: Hi

正文：

:)

:))

附件：

文件名可能为：

Price

price

Joke

扩展名可能为：

.com/.scr/.cpl

8.该病毒不会向包含以下字符串的邮件地址发送邮件

@avp.

@foo

@hotmail

@iana

@messagelab

@microsoft