恶鹰变种(Worm.Bbeagle.Q) 的决解方法

hfng

该病毒是“Worm.BBeagle”病毒的最新变种，病毒进行PE文件感染，以加强传播能力，由于该病毒在感染时用自身的加密变形引擎。具有很强的隐蔽性。

一、病毒评估

1．病毒中文名：恶鹰
2．病毒英文名：Worm.Bbeagle.q
3．病毒大小：26,557字节
4．病毒类型：蠕虫病毒
5．病毒危险等级：★★★★
6．病毒传播途径：网络,文件感染
7．病毒依赖系统：Windows 9X/NT/2000/XP

二、病毒的破坏

病毒建立两个服务线程分别监听81和2556端口，给系统留后门，并驻留内存不断对磁盘进行遍历，进行邮件传播，文件感染，大大降低系统性能。

三、病毒报告

UPX压缩，VC++6.0编写，蠕虫。一旦执行，病毒将自我复制到系统文件夹.
文件名为：direct.exe及direct.exeopen

它将创建下列注册表键值来使自己随Windows系统自启动:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" direct.exe "="%SYSDIR%\ direct.exe"

病毒将删除一些注册表键值：
HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
及HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的以下键：
My AV, Zone Labs Client Ex, 9XhtProtect, Antivirus, Special Firewall Service, service
Tiny AV, ICQNet, HtProtect, NetDy, ICQ Net

监视：
   病毒建立一个线程，对系统进行监控。杀死进程名和体内“黑名单”中相符的进程。
以下是病毒体内的进程“黑名单”
CMGRDIAN.EXE, CMON016.EXE, CPF9X206.EXE, CPFNT206.EXE, CWNB181.EXE,
CWNTDWMO.EXE,FP-WIN_TRIAL.EXE,FSAV.EXE,ICLOAD95.EXE, ICLOADNT.EXE, HACKTRACERSETUP.EXE, KAVLITE40ENG.EXE, AUPDATE.EXE, HWPE.EXE等等..

邮件，PE文件传播：
   病毒遍历系统磁盘，当发现扩展名为：.wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx,
.mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin,
.cgi, .mht, .dhtm, .jsp时病毒将打开该文件并尝试从中提取email地址并向该地址发送带
毒邮件。
   当扩扩展名为：.exe的病毒将尝试对其进行文件感染。
在遍历过程中，当目录名存在“shar”字串时，病毒将自己复制到该目录下，文件名为
：Microsoft Office 2003 Crack, Working!.exe, Microsoft Windows XP, WinXP Crack, working Keygen.exe, Microsoft Office XP working Crack, Keygen.exe, Porno, sex, oral, anal cool, awesome!!.exe, Porno Screensaver.scr, Serials.txt.exe, Porno pics arhive, xxx.exe, Windows Sourcecode update.doc.exe, Ahead Nero 7.exe, Windown Longhorn Beta Leak.exe, Opera 8 New!.exe, XXX hardcore images.exe, WinAmp 6 New!.exe, WinAmp 5 Pro Keygen Crack Update.exe, Adobe Photoshop 9 full.exe, Matrix 3 Revolution English Subtitles.exe…..

邮件特征：
包含以下字串：
RE: Text message，Re: Document，Incoming message，Re: Incoming Message，RE: Protected message，Forum notify，Site changes，Encrypted document，Re: Hi，E-mail warning，
Notify about your e-mail account utilization.，Notify from e-mail technical support.，

附件为一个：加了密的zip文件（病毒）
邮件还将附上zip文件的密码（一个病毒生成的bmp图）

后门线程：
   病毒监听81端口接，向联接上来的客户端发送脚本。

病毒监听：
监听2556端口接受一些客户端传来的特定命令。

注：病毒将在2005年12月31日以后失去传播能力，病毒将自我删除。

四、病毒解决方案：

1.进行升级
瑞星公司将于当天进行升级，升级后的软件版本号为16.18.30，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。

2.使用专杀工具
鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到：http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载，并进行该病毒的清除。

3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆网址： http://go.rising.com.cn/来使用下载版产品。

4.打电话求救
如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

5.手动清除

（1）打开注册表编辑器,删除如下键值<如果存在的话>:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" direct.exe"="%SYSDIR%\ direct.exe"

（2）打开任务管理器查看是否存在进程名为: direct.exe终止它

（3）将%SYSDIR%目录下的文件: direct.exe删除

注:%SYSDIR%位Windows系统的安装目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYSTEM,Win2K下默认为:C:\WINNT\SYSTEM32。


五、安全建议：

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。

湖俊

分享有用资讯，加分奖励

hfng

恶鹰变种AO (Worm.BBeagle.ao)

恶性蠕虫病毒“恶鹰”的最新变种，使用32位汇编编写, 传播力很强，目前瑞星全球反病毒监测网监测到的由该病毒发送的病毒邮件数有大幅增加。病毒会搜索硬盘中的有效邮件地址，然后利用自己的SMTP邮件发送引擎，向外发送大量带毒邮件，会严重消耗网络资源，造成网络阻塞。

一、病毒评估

1．病毒中文名：恶鹰变种AO
2．病毒英文名：Worm.BBeagle.ao
3．病毒类型：蠕虫病毒
4．病毒危险等级：★★★★
5．病毒传播途径：网络/邮件
6．病毒依赖系统：WINDOWS9X/NT/2000/XP

二、病毒破坏

1．发送大量病毒邮件
大量散发病毒邮件，传染速度极快,造成网络阻塞。
2. 给系统开设后门
监听TCP 端口 1080，给系统开设后门。

三、技术分析

一旦执行,病毒将执行以下操作:

1. 病毒将创建多个互斥量：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

这些互斥量是其前一些版本创建的，病毒利用此来禁止其它变种的运行;

2. 病毒将删除键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的如下键值：
"My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"andaAVEngine"
"Norton Antivirus AV"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"

使以上软件不能正常运行。

3. 病毒释放如下文件：
%SYSDIR%\sysxp.exe       --病毒本身
%SYSDIR%\sysxp.exeopen   --病毒尾部附加随机数据

4. 病毒向注册表添加如下键值，来实现开机自启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"key" = "%SYSDIR%\sysxp.exe"

5. 病毒将试图复制到带有字符串："shar"的目录下<比如：C:\Program Files\Common Files\Microsoft Shared>，文件名可能为：

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

6. 病毒将从如下扩展名的文件中搜索EMAIL地址：

.wab、.txt、.msg、.htm 、.shtm 、.stm 、.xml 、.dbx
.mbx 、.mdx 、.eml 、.nch 、.mmf 、.ods 、.cfg
.asp 、.php 、.pl 、.wsh 、.adb 、.tbb 、.sht 、.xls
.oft 、.uin 、.cgi 、.mht 、.dhtm 、.jsp
7．病毒将使用自己的 SMTP 引擎来发送EMAIL到上面搜到的EMAIL地址，EMAIL特征如下：发送邮件地址: <伪地址>

主题可能为:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update

附件名扩展名可能为：
.exe
.scr
.com
.cpl
.zip
8．判断如果日期大于为2006年5月5日，病毒将退出并删除注册表自启动键值。
9．终止多种杀毒软件的进程。
10．试图从预定的网站下载PHP文件。
11．监听TCP端口1080，给系统开设后门。


四、病毒解决方案：

1.进行升级
瑞星公司将于当天进行紧急升级，升级后的软件版本号为16.36.11，该版本的瑞星杀毒软件可以彻底查杀“恶鹰变种AO”病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的智能升级功能。

2.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品是通过手机付费使用的，用户可以登陆http://online.rising.com.cn/使用在线杀毒产品，或者登陆http://go.rising.com.cn/使用下载版产品。