病毒名称: Email-Worm.Win32.Bagz.f
病毒类型: 病毒邮件
文件 MD5: 94E7E121E1116DC600E4F671228FC0D3
公开范围: 完全公开
危害等级: 中
文件长度: 29,117 字节
感染系统: windows 98 及以上版本
开发工具: Microsoft Visual C++ 5.0
加壳类型: UPX
命名对照: Symentec[W32.Bagz.F@mm]
Mcafee[W32/Bagz!dload]
病毒描述:
该病毒属邮件蠕虫类,病毒主要通过发送病毒邮件来传播,病毒首次运行后会复制原病毒副本到%System%目录下,并修改注册表文件,病毒还会修改hosts文件,阻止用户访问某些反病毒及安全类网站,病毒通过搜索感染主机的某些扩展名的文件,来获取其中的邮件地址,当搜索到的邮件地址中包含某些字符时则不会发送,病毒邮件中的邮件标题,主体信息从列表中随即选择,其中病毒附件为双扩展名。该病毒对用户有一定的危害。
行为分析:
1、病毒运行后会复制自身到:
%System%sysinfo32.exe
%System%race32.exe
%System%sqlssl.doc.exe
2、修改注册表文件,创建服务:
HKEY_LOCAL_METHINESystemCurrentControlSetServicesALEXORA
服务名:Windows Secure SS
3、病毒查找以下扩展名的文件,获取其中的邮件地址:
TBB
tbb
TBI
tbi
DBX
dbx
HTM
htm
TXT
txt
当搜索到的邮件地址中包含以下字符,则不会发送:
@avp
@foo
@iana
@messagelab
@microsoft
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
help@
hostmaster@
icrosoft
info@
kasp
abuse
admin
administrator@
all@
anyone@
linux
listserv
local
netadmin@
news
nobody@
noone@
noreply
ntivi
oocies
panda
pgp
postmaster@
bsd
bugs@
cafee
certific
rating@
root@
samples
sopho
spam
support
support@
unix
update
webmaster@
winrar
winzip
certs@
病毒邮件的主体可能为:
Message body (chosen at random from the list below):
Hi
Did you get the previous document I attached for you?
I resent it in this email just in case, because I really need you to check it out asap.
Best Regards
Hi
I made a mistake and forgot to click attach on the previous email I sent you.
Please give me your opinion on this opportunity when you get a chance.
Best Regards
Hi
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your family if possible.
It contains important info for both of you.
Hi
Sorry, I forgot to send an important document to you in that last email. I had an important phone call.
Please checkout attached doc file when you have a moment.
Best Regards
病毒附件有双扩展名,
about.doc.exe
admin.doc .exe
archivator.doc.exe
archives.doc.exe
ataches.doc.exe
backup.doc.exe
docs.doc .exe
documentation.doc.exe
save.doc.exe
sqlssl.doc.exe
help.doc.exe
inbox.doc.exe
manual.doc.exe
outbox.doc .exe
payment.doc.exe
photos.doc .exe
rar.doc.exe
readme.doc.exe
zip.doc.exe
修改系统的 "%System%driversetchosts" ,在hosts文件中加入以下内容,阻止用户访问这些网站:
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
……
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%System%sysinfo32.exe
%System%race32.exe
%System%sqlssl.doc.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_METHINESystemCurrentControlSetServicesALEXORA
服务名:Windows Secure SS
(4) 修改%System%driversetchosts文件,删除多余的地址。
