病毒名称: Worm_Bagle.Be
病毒类型: 蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP
病毒长度:34,304 Bytes
病毒特性:
病毒通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。
1、生成病毒文件
病毒运行后,在%System%文件夹下生成名为WIWSHOST.EXE和其自身拷贝WINSHOST.EXE。其中文件WIWSHOST.EXE会自身释放文件WINSHOST.EXE到系统目录下,并将WINSHOST.EXE插入到EXPLORER.EXE进程中。(其中,%System%在Windows 95/98/Me 下为C:WindowsSystem,在Windows NT/2000下为C:WinntSystem32,在Windows XP下为 C:WindowsSystem32)。
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun添加
winshost.exe ="%System%winshost.exe"
和在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun添加
winshost.exe = "%System%winshost.exe"
(其中,%System%在Windows 95/98/Me 下为C:WindowsSystem,在Windows NT/2000下为C:WinntSystem32,在Windows XP下为 C:WindowsSystem32)
3、通过电子邮件进行传播
病毒通过电子邮件进行传播,病毒邮件附件是a.zip压缩文件,计算机用户点击就会感染计算机系统。
4、中止应用进程
该病毒会在被感染的系统中中止一些反病毒软件和安全的应用进程
5、删除注册表键值
该病毒会释放文件WIWSHOST.EXE删除注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun中的一些键值。
该病毒还会删除注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun中的键值Zone Labs Client。
6、后门程序
该病毒具有后门功能,打开并监听tcp端口80,允许恶意用户用特定密码登陆并控制受感染的系统。该病毒还会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站,还会使受感染的机器从指定的资源服务器上主动下载并执行病毒文件。
