McAfee发出培果蠕虫变种Bagle.aq警告
新客网 XKER.COM 2005-06-10 来源: 收藏本文
美国McAfee的反病毒技术研究机构—McAfee AVERT(Anti-Virus Emergency Response Team)日前将最近发现的“培果”蠕虫变种“W32/Bagle.aq@MM(Bagle.aq)”的危险度评定为“中”。这是该公司于美国当地时间8月9日发布的消息。新变种是一种大量发送电子邮件的蠕虫,发送zip格式的文件。
McAfee AVERT目前已接到了150例以上的检测和感染报告。迄今接到的感染报告绝大多数来至巴西、加拿大、法国、荷兰、台湾和美国。其中大部分来自普通用户而不是企业用户。
Bagle.aq利用自身的SMTP引擎制作发送的邮件。因为Bagle.aq把从本地文件中收集到的电子邮件地址填写在“From”栏(发信人)里,自我复制后发送出去,所以收信人无法确定发送人的地址。
该蠕虫内置有远程连接组件,感染的电脑会通知蠕虫作者。另外,病毒发作后会在含有字符串“shar”的文件夹内(普通端对端应用程序的文件夹)制成其自身的复制文件。
在该蠕虫发送的zip格式的文件内,保存有html和exe文件。因为exe文件在zip文件内,所在在Windows资源管理器中,仅能看到html文件和其他文件夹(通过“WinZip”和“PKzip”等独立的zip解压缩程序则可以看到exe文件)。html文件中的代码可在有漏洞的系统内自动运行作为特洛伊木马型下载器的exe文件。该下载器可以访问大多数Web站点并搜索病毒。
电子邮件的内容如下:
-------------------------------------------------------
发信人:(伪装的电子邮件地址)
主题:(空白)
消息正文:
·new price
在说明zip文件有口令保护后,消息正文中有时还会有以下表述和口令的图像文件(Image File)。
·The password is
·Password:
附件:(以下的任意一个)
·price.zip
·price2.zip
·price_new.zip
·price_08.zip
·08_price.zip
·newprice.zip
·new_price.zip
·new__price.zip
zip文件中保存有两个文件—PRICE.EXE和PRICE.HTML。
exe文件运行时,Bagle.aq在Windows System目录中将其自身作为“WINDIRECT.EXE”复制为“C:\WINNT\SYSTEM32\WINdirect.exe”。此外,还在该目录中追加dll文件“_dll.exe”。
另外,为了能在起动时自动运行,追加了以下注册键(Registry Keys):
特洛伊木马型下载器下载到病毒运行文件并运行后,病毒就会在Windows System目录中将其自身作为“WINDLL.EXE”复制为“C:\WINNT\SYSTEM32\windll.exe”。还将在该目录下制成执行病毒自身功能的其他文件—“C:\WINNT\SYSTEM32\windll.exeopen”和“C:\WINNT\SYSTEM32\windll.exeopenopen”。
另外,为了能在起动时自动运行,追加了以下注册键:
该蠕虫可打开目标机器的80端口(TCP)和随机的UDP端口。
McAfee AVERT目前已接到了150例以上的检测和感染报告。迄今接到的感染报告绝大多数来至巴西、加拿大、法国、荷兰、台湾和美国。其中大部分来自普通用户而不是企业用户。
Bagle.aq利用自身的SMTP引擎制作发送的邮件。因为Bagle.aq把从本地文件中收集到的电子邮件地址填写在“From”栏(发信人)里,自我复制后发送出去,所以收信人无法确定发送人的地址。
该蠕虫内置有远程连接组件,感染的电脑会通知蠕虫作者。另外,病毒发作后会在含有字符串“shar”的文件夹内(普通端对端应用程序的文件夹)制成其自身的复制文件。
在该蠕虫发送的zip格式的文件内,保存有html和exe文件。因为exe文件在zip文件内,所在在Windows资源管理器中,仅能看到html文件和其他文件夹(通过“WinZip”和“PKzip”等独立的zip解压缩程序则可以看到exe文件)。html文件中的代码可在有漏洞的系统内自动运行作为特洛伊木马型下载器的exe文件。该下载器可以访问大多数Web站点并搜索病毒。
电子邮件的内容如下:
-------------------------------------------------------
发信人:(伪装的电子邮件地址)
主题:(空白)
消息正文:
·new price
在说明zip文件有口令保护后,消息正文中有时还会有以下表述和口令的图像文件(Image File)。
·The password is
·Password:
附件:(以下的任意一个)
·price.zip
·price2.zip
·price_new.zip
·price_08.zip
·08_price.zip
·newprice.zip
·new_price.zip
·new__price.zip
zip文件中保存有两个文件—PRICE.EXE和PRICE.HTML。
exe文件运行时,Bagle.aq在Windows System目录中将其自身作为“WINDIRECT.EXE”复制为“C:\WINNT\SYSTEM32\WINdirect.exe”。此外,还在该目录中追加dll文件“_dll.exe”。
另外,为了能在起动时自动运行,追加了以下注册键(Registry Keys):
特洛伊木马型下载器下载到病毒运行文件并运行后,病毒就会在Windows System目录中将其自身作为“WINDLL.EXE”复制为“C:\WINNT\SYSTEM32\windll.exe”。还将在该目录下制成执行病毒自身功能的其他文件—“C:\WINNT\SYSTEM32\windll.exeopen”和“C:\WINNT\SYSTEM32\windll.exeopenopen”。
另外,为了能在起动时自动运行,追加了以下注册键:
该蠕虫可打开目标机器的80端口(TCP)和随机的UDP端口。
上一篇:ASP.NET编程实例ABC 下一篇:Asp.Net基础学习实例:输出图形
最新相关文章- ·身份证函数 查看身份证地区信息
- ·VS2008 第一次安装心得及使用
- ·ASP.NET 2.0跨网页提交的三法
- ·编程实例 WebGroupBox(Aspx控件)
- ·asp.net mvc脚手架代码生成工具
- ·用独立的DLL来存储图片(资源文件)
- ·ASP.NET中多国语言的实现方法
- ·实例 .net生成静态页方法总结
- ·ASP.NET控件学习笔记之ViewState
- ·用递归在TreeView价节点
- ·经验总结 关于.NET 中的Event机制
- ·.NET应用程序开发标准化(z)
- ·在DataTable中查询应该注意的问题
- ·LINQ 中调用存储过程自动绑定列名
- ·如何用.NET技术在线生成网站LOGO
- ·对于访问IIS元数据库失败的解决
发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
- Asp.net Ajax 中的脚本错误: Sys未定义 的解决方
- 身份证号码15位升18位(C#)
- asp.net ajax学习系列功能强大的UpdatePanel控件
- Web Service描述语言 WSDL 详解(1)--为什么使用WS
- Asp.Net Unleashed 2nd Edition 学习笔记 第三部
- UpdatePanel与UrlRewrite
- DataGridView 的分页处理
- 从资源文件里加载文件(C#)
- Javascript与asp.net 实现Ajax多文件无刷新上传
- 关于ASP.NET调用JavaScript的实现
- asp.net面试试题收集
- 基于ASP.NET AJAX的WebPart开发与部署
- Huffman 编码简介(讲解的更好一些,有C的分析)
- 在VC++应用程序中读取文本数据
- 技巧 .NET如何访问MySQL数据库
随机推荐
实用信息推荐