W32.Beagle.BP

病毒名称:

W32.Beagle.BP

类别： 蠕虫病毒

病毒资料：

该病毒感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个复合型病毒，自带SMTP引擎传播，破坏反病毒软件，释放木马病毒Trojan.Tooso，打开TCP端口80作为后门；当收到、打开此病毒时，有以下危害：

A 复制自身到系统目录svc.exe

B添加注册表值"erthgdr" = "％System％\svc.exe"到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n

C 创建以下信号量，可以阻止部分Netsky病毒的执行

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX-+S+-+k+-+y+-+N+-+e+-+t+-XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____---U

_-oO]xX-S-k-y-N-e-t-Xx[Oo-_

D删除组册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"My AV"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Zone Labs Client Ex"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"9XHtProtect"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Antivirus "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Special Firewall Service"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"service"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Tiny AV"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"ICQNet"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"HtProtect"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"NetDy"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Jammer2nd"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"FirewallSvr"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"MsInfo"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"SysMonXP"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"EasyAV"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"PandaAVEngine"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Norton Antivirus AV"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"KASPerskyAVEng"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"SkynetsRevenge"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"ICQ Net"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"My AV"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Zone Labs Client Ex"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"9XHtProtect"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Antivirus "

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Special Firewall Service"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"service"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Tiny AV"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"ICQNet"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"HtProtect"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"NetDy"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Jammer2nd"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"FirewallSvr"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"MsInfo"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"SysMonXP"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"EasyAV"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"PandaAVEngine"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Norton Antivirus AV"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"KasperskyAVEng"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"SkynetsRevenge"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"ICQ Net"

E 连接到 smtp.earthlink.net端口 25验证网络连接

F 在2008年4月12号，删除以下注册表项：

HKEY_CURRENT_USER\Software\ert

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"erthgdr"

G 从以下地址下载文件保存为系统目录的re_file.exe并执行：

·loca2/s1.PHP

·loca2/s3.php

H打开TCP端口80作为后门,进行代理服务

I 从主机nudp.com 下载eml.exe ，保存到 Windows目录为eml.exe

K 释放木马病毒Trojan.Tooso,发送邮件传播

邮件为：

发件人: Spoofed

主体: Blank

信息:

附件:（下面之一）

·Price_new.zip

·Price_new_16_04_05.zip

·Work.zip

·Be_not_jealous.zip

在附件包裹中是一个名称为1804_2005.exe的木马病毒Trojan.Tooso

L 他还避免发送到包含以下地址的邮箱：

·@avp.

·@derewrdgrs

·@eerswqe

·@foo

·@iana

·@messagelab

·@microsoft

·abuse

·admin

·anyone@

·bsd

·bugs@

·cafee

·certific

·contract@

·feste

·free-av

·f-secur

·gold-certs@

·Google

·help@

·icrosoft

·info@

·kasp

·Linux

·listserv

·local

·news

·nobody@

·noone@

·noreply

·ntivi

·panda

·pgp

·postmaster@

·rating@

·root@

·samples

·sopho

·spam

·support

·unix

·update

·WinRAR

·WinZip

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-4-25

• ·Trojan.QQtail.Dragonjb.
• ·Trojan.sub7.22
• ·Trojan.p_server
• ·Trojan.DKAngel
• ·Downloader.Newest
• ·Trojan.Gamqowi
• ·Trojan.Pim
• ·Trojan.Pgpcoder
• ·Trojan.Binjo
• ·Trojan.Snines