w32.beagle.cd@mm病毒详解 - 爱客者安全平台 - 安全技术

主页

下载中心

文章中心

在线杀毒

软件论坛

国内杀毒软件

瑞星杀毒金山毒霸江民杀毒光华反病毒 更多...

木马专杀

木马杀客木马克星木马清道夫 AVG(原Ewido)Anti-Spyware 更多...

国外杀毒软件

卡巴斯基诺顿趋势安博士熊猫卫士小红伞驱逐舰麦咖啡McAfee NOD32 F-Secure Dr.Web Avast 更多...

升级补丁	瑞星升级金山毒霸升级江民升级光华升级卡巴斯基升级诺顿升级趋势升级安博士升级 NOD32升级 Dr.Web升级 Avast升级

流氓软件清理

360安全卫士瑞星卡卡金山毒霸系统清理专家 Wopti流氓软件清除大师恶意软件清理助手超级兔子网络卫士 更多...

防火墙

天网费尔冰盾 更多...

病毒专题

熊猫烧香病毒专题电眼间谍病毒专题 AV终结者病毒专题

灰鸽子清理

更多...

系统漏洞补丁

windowXP系统漏洞补丁 window2000系统漏洞补丁 window2003系统漏洞补丁 windowVISTA系统漏洞补丁 更多...

　您当前的位置：爱客者 -> 文章中心 -> 安全技术 -> 杀毒技术 -> 文章内容

w32.beagle.cd@mm病毒详解

来源：网络时间：2006-5-31

w32.beagle.cd@mm是一个乱发email的蠕虫，再受感染的电脑上打开tcp 80端口作为后门。
受感染系统:　windows 2000, windows 95, windows 98, windows me, windows nt, windows server 2003, windows xp

当该病毒运行时：

复制自身为 %system%\windll.exe.

注：%system%为指向system文件夹的变量。默认为：
c:\windows\system (windows 95/98/me),
c:\winnt\system32 (windows nt/2000),
或 c:\windows\system32 (windows xp).

添加值：

"erthgdr" = "%system%\windll.exe"

到注册表键：

hkey_current_user\software\microsoft\windows\currentversion\ru1n

创建一个互斥体，用来防止w32.netsky的变量运行：

muxxxxtenyksdesignedasthefollowerofskynet-d
_-oo]xx|-s-k-y-n-e-t-|xx[oo-_

尝试着去删除以下注册表值：

hkey_local_machine\software\microsoft\windows\currentversion\ru1n\"my av"
hkey_current_user\software\microsoft\windows\currentversion\ru1n\"my av"
hkey_local_machine\software\microsoft\windows\currentversion\ru1n\"icqnet"
hkey_current_user\software\microsoft\windows\currentversion\ru1n\"icq net"

如果日期为2007/8/10以后，则尝试着去删除以下注册表值然后退出：
hkey_current_user\software\ert
hkey_current_user\software\microsoft\windows\currentversion\ru1n\"erthgdr"

尝试着从以下地址下载文件然后保存在%system%\re_file.exe:

[http://]loca2/[removed]/s1.php （因安全原因，在此隐藏了网址）
[http://]loca2/[removed]/s3.php

然后蠕虫运行%system%\re_file.exe文件

打开tcp 80端口作为后门，允许该电脑作为一个代理服务器。

尝试着去结束以下进程：

no1t1epad.exe
t1es1t.exe

尝试着去访问以下站点，下载%windir%\eml.exe文件:

[http://]carnwoodcontracting.com/[removed]/web.php （因安全原因，在此隐藏了网址）
[http://]fpcoc.org/images/[removed]/web.php
[http://]clickhare.com/[removed]/web.php

注：当写入的时候，该文件不存在，但是据反映，该文件里有各种各样的字符用来产生email

尝试用自己的smtp引擎来发送以上文件里可能存在的email地址。email有以下特征：

from: [spoofed]　（发信人): 伪装的

subject: [blank] （主题）：空白

message: (内容)　
以下任何一个：

1.the password is
2.password:

附件：

可能发送下载过的文件，后缀为.txt

避免自身发送还有以下字串的地址：

@avp.
@derewrdgrs
@eerswqe
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

行了，说了这么多，下面说说建议：
１．关闭一些没有用的服务
２．随时更新自己的系统。不要嫌麻烦
３．加强自己的密码，不要用弱口令
４．如果你在局域网内，有机器中毒，尽快对中毒机器进行隔离
５．没了．．．．．．

清除步骤：
１．禁用系统还原(windows me/xp).
２．用杀毒软件进行系统杀毒，并删除所有发现的病毒文件。
３．删除恢复以上提到的注册表值。


相关新闻

学习从系统中删除病毒	2007/6/28
吃透木马运行原理把它扼杀	2007/6/28
McAfee杀毒软件高级设置技巧五招	2007/6/28
隐藏文件看不到？中毒了！	2007/6/25
360安全卫士推出集三重防护理念	2007/6/25

其它相关新闻

最新新闻

·病毒预警：光华反病毒资讯(7月16日－7月22日)

·病毒预警：光华反病毒资讯(7月9日－7月15日)

·用Regsvr32命令解决系统疑难杂症

·Windows的DLL文件原理与修改方法

·AVG(原Ewido)Anti-Spyware每日增量病毒库更新(2008.06.02)-Anti-Spyware升级包

·Kaspersky Anti-Virus7.0.0.125增量包(2008.05.31)-卡巴斯基升级包

·Kaspersky Internet Security7.0.0.125完整升级包(2008.06.01)-卡巴斯基升级包

·熊猫卫士06月01号最新病毒升级包通用版-熊猫卫士升级包

·Avast杀毒软件病毒库升级包(2008-06-01)for avast! 4.0 VPS更新-Avast升级包

·Avast杀毒软件病毒库升级包(2008-06-01)for avast! 4.x VPS更新-Avast升级包

·McAfee VirusScan DAT 5306病毒库-麦咖啡升级包

·更多相关杀毒软件

[本站导航]

瑞星	瑞星杀毒软件┊ 瑞星升级包瑞星杀毒┊ 瑞星2007 瑞星在线杀毒┊ 瑞星杀毒软件下载┊瑞星升级
卡巴斯基	卡巴斯基下载┊ 卡巴斯基6.0┊卡巴斯基杀毒软件┊ 卡巴斯基7.0┊卡巴斯基病毒库┊ 卡巴斯基升级包
江民	江民杀毒软件┊ 江民杀毒┊江民2007┊ 江民杀毒软件下载┊江民升级包┊ 江民升级┊江民离线升级包
金山毒霸	金山毒霸2007下载┊ 金山毒霸下载┊金山毒霸2007升级包┊ 金山毒霸升级┊金山毒霸杀毒软件
诺顿	诺顿杀毒软件┊ 诺顿杀毒┊诺顿病毒库┊ 诺顿企业版┊诺顿升级包┊ 诺顿升级┊诺顿下载
小红伞AntiVir	德国小红伞┊ 小红伞下载┊小红伞中文┊ 小红伞杀毒软件┊小红伞汉化┊ Avira AntiVir
麦咖啡McAfee	麦咖啡杀毒软件┊ 麦咖啡升级包┊麦咖啡8.0┊ 麦咖啡企业版┊麦咖啡8.5┊ mcafee virusscan
NOD32	nod32升级┊ nod32升级服务器┊nod32下载┊ nod32 2.7┊nod32升级id┊ nod32更新┊nod32升级包
F-Secure	F-secure杀毒软件┊ f-secure anti-virus┊F-secure汉化版┊ F-secure注册机┊F-secure2007
Dr.Web	dr.web key┊dr.web cureit┊dr.web注册码┊ dr.web汉化┊dr.web病毒库┊ 大蜘蛛┊大蜘蛛杀毒软件
Avast	avast注册码序列号┊avast antivirus┊ avast杀毒软件┊avast中文版┊ avast 升级┊avast升级包
木马专杀	木马杀客┊ 木马克星┊AVG Ewido Anti-Spyware┊AVG Ewido Anti-Spyware升级包更新
防火墙	瑞星防火墙┊ 天网防火墙┊arp防火墙┊ 瑞星个人防火墙┊江民防火墙┊ 防火墙下载┊风云防火墙
流氓软件清理	瑞星卡卡┊ 360安全卫士┊Wopti流氓软件清除大师┊ 奇虎360安全卫士┊360安全卫士绿色版
推荐软件	Firefox火狐浏览器┊ 浏览器┊Picasa照片处理软件┊ 非主流图片制作软件┊非主流照片制作