国家计算机病毒应急处理中心通过对互联网的监测,发现了“贝革热”病毒的新变种Worm_Bagle.Be。
据应急中心分析发现,这种该病毒变种比早期的变种更具有危害性,它通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。该变种会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站,还会使受感染的机器从指定的资源服务器上主动下载并执行病毒文件。
蠕虫详细信息如下:
病毒名称: Worm_Bagle.Be
病毒类型: 蠕虫
感染系统:Windows95/98/Me/NT/2000/XP
病毒长度:34,304Bytes
病毒特征:
病毒通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。
1、生成病毒文件
病毒运行后,在%System%文件夹下生成名为WIWSHOST.EXE和其自身拷贝WINSHOST.EXE。其中文件WIWSHOST.EXE会自身释放文件WINSHOST.EXE到系统目录下,并将WINSHOST.EXE插入到EXPLORER.EXE进程中。(其中,%System%在Windows95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)。
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run添加winshost.exe =“%System%\winshost.exe”和在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加winshost.exe =“%System%\winshost.exe”(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)。
3、通过电子邮件进行传播
病毒通过电子邮件进行传播,病毒邮件附件是a.zip压缩文件,计算机用户点击就会感染计算机系统。
4、中止应用进程
该病毒会在被感染的系统中中止一些反病毒软件和安全的应用进程。
5、删除注册表键值
该病毒会释放文件WIWSHOST.EXE删除注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的一些键值。该病毒还会删除注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的键值Zone Labs Client。
6、后门程序
该病毒具有后门功能,打开并监听tcp端口80,允许恶意用户用特定密码登录并控制受感染的系统。该病毒还会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站,还会使受感染的机器从指定的资源服务器上主动下载并执行病毒文件。
