海之美文新闻资讯Worm.Beagle.bq
Worm.Beagle.bq是蠕虫病毒恶鹰Beagle的新变种,它一旦运行,会尝试关闭多种知名的防毒软体,降低系统的安全性能,然后开启多个病毒执行绪,并下载另一个病毒体,传送垃圾邮件,实现蠕虫传播。
基本介绍
- 中文名:Worm.Beagle.bq
- 威胁级别::★★
- 中文名称::恶鹰
- 病毒类型::蠕虫
影响系统
Win9x / WinNT
病毒行为
1. 病毒体採用图片图示,被点击运行后,会弹出图片编辑器运行界面。而实际上病毒体已将自身
拷贝到%system%资料夹下,命名为winshot.exe,并释放另一个动态链结档案wiwshost.exe。
2. 病毒修改注册表添加如下启动项,使winshot.exe能够开机运行:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"
3. wiwhost.exe实际上是一个动态链结档案,它被注入到explorer.exe进程中,不但修改hosts档案,
还尝试关闭多种正在运行的安全进程,然后开启多个执行绪,这些执行绪包括:
i) 搜寻注册表中知名安全软体的注册表项,并将其删除,其中有:
Symantec
NAV
McAfee
KasperskyLab
Agnitum
Panda Software
Zone Labs
KAV50
ii) 遍历硬碟;
iii) 结束以下安全进程的升级程式:
NUPGRADE.EXE
MSUPDATE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ISCUPP95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
iv) 从多个网址下载名为"o**3.gif"的档案,将其拷贝到%windir%目录下,命名为_re_file.exe,
然后运行这个可执行程式,这个程式会传送大量垃圾邮件,实现病毒的传播。
转载请注明出处海之美文 » Worm.Beagle.bq