病毒预报(8.16-8.22)

疾隼

病毒名称："贝革热"变种（Worm_Bbeagle.AG） 其它命名：W32/Bagle.AJ@mm (F-Secure) I-Worm.Bagle.al (Kaspersky) W32/Bagle.aq@MM (McAfee) W32.Beagle.AO@mm(Symantec) WORM_BAGLE.AC （Trend） Win32.Bagle.AG （Computer Associates） W32/Bagle-AQ （Sophos） Win32.Bagle.AG（冠群金辰） 病毒长度：19,460字节 病毒类型：蠕虫 感染系统：Windows 95/98/Me/NT/2000/XP/2003 病毒特性： 病毒以染毒邮件的附件形式到达，邮件的标题为空，内容为New price（新的价格）、附件的名称是可变的，但一般都和价格有关系，长度约为19k。提醒用户遇到此类邮件不要打开，应立即删除。病毒运行后在系统文件夹下生成病毒文件，修改注册表，以达到自启动的目的。另外，病毒会删除一些注册表项，同时具有后门功能。 1、生成病毒文件 该病毒运行后在%system%文件夹中生成多个文件 WINdirect.exe WINDLL.EXE WINDLL.EXEOPEN WINDLL.EXEOPENOPEN re_file.exe （其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32） 2、修改注册表 病毒修改注册表，以达到随系统启动而自动运行的目的，在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建： "win_upd.exe"="%System%\WINdirect.exe" 和"erthgdr"="%System%\windll.exe" 3、删除注册表键值 病毒从注册表的以下目录中删除一些包含特定字符的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 包含的特定字符如下： 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex service 4、通过电子邮件进行传播 病毒使用自身的SMTP引擎向外发送带毒电子邮件，进行传播。病毒会从多种扩展名的文件中搜集邮件地址，并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。 病毒发送的邮件格式如下： 主题： （为空） 正文：New price 附件的名称：（为下列之一） 08_price.zip new__price.zip new_price.zip newprice.zip price.zip price2.zip price_08.zip price_new.zip 5、通过共享传播 病毒尝试将自身拷贝到包含字符串"shar"的文件夹中，名称为下列之一 Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe 6、后门功能 病毒生成的文件会开启TCP80和UDP80端口，该后门可以用来下载和执行文件并可更新病毒。病毒会终止一些和反病毒相关的进程。 清除该病毒的建议： 1、终止病毒进程 在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE 在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC 选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。 2、注册表的恢复 点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧"win_upd.exe"="%System%\WINdirect.exe"和"erthgdr"="%System%\windll.exe" 3、删除病毒文件 点击"开始-->查找"，找到病毒生成的文件WINdirect.exe、WINDLL.EXE、WINDLL.EXEOPEN、WINDLL.EXEOPENOPEN、re_file.exe，并将其删除。 4、运行杀毒软件对系统进行全面的病毒查杀 本周发作： 病毒名称：W97M_ Gurre.A 病毒类型：宏病毒 发作日期：8月20日 危害程度：病毒生成文件c:/w.bat然后运行，这个文件将会对c盘进行格式化 专家提醒： 1、 一旦计算机感染病毒，硬盘资料遭受破坏，用户不要急于进行格式化，因为绝大多数病毒不可能在短时间内将硬盘资料全数破坏，应先对当前情况加以分析，并使用一些软件和工具进行数据恢复。 2、 计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒大范围传播，造成更严重的危害。 国家计算机病毒应急处理中心(T101) [br][br]-----------------------------------------[br]奖励用户：原因：好文章支持，好的报告 用户操作：坛币4，积分2，诚信1 操作者：如果只有一分钟

小妇人

小杉

谢谢~~谢谢！！