病毒名称:
WORM_BAGLE.AY
类别: 蠕虫病毒
病毒资料:
这是一个WORM_BAGLE的新变种,主要利用电子邮件进行传播。病毒在运行时,会在Windows系统文件夹中生成一个自身拷贝,拷贝所使用的文件名如下:
•sysformat.exe
•sysformat.exeopen
•sysformat.exeopenopen
病毒会搜索名称中带有“shar”字符串的文件夹,找到后会在其中生成自身拷贝,拷贝的文件名如下:
• 1.exe
• 2.exe
• 3.exe
• 4.exe
• 5.scr
• 6.exe
• 7.exe
• 8.exe
• 9.exe
• 10.exe
• Ahead Nero 7.exe
• Windown Longhorn Beta Leak.exe
• Opera 8 New!.exe
• XXX hardcore images.exe
• WinAMP 6 New!.exe
• WinAmp 5 PRo Keygen Crack Update.exe
• Adobe photoshop 9 full.exe
• Matrix 3 Revolution English SuBTitles.exe
• ACDSee 9.exe
解决方案:
识别病毒程序
要清除这种病毒,首先要分辩该病毒程序
1.使用光华反病毒软件扫描系统
2.记录所有被检测为WORM_BAGLE.AY的文件
Housecall。
终止恶意程序
这个步骤中终止正在内存中运行的恶意程序进程。
1.打开windows任务管理器。
在windows95/98/ME系统中, 按
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统中, 按
CTRL+SHIFT+ESC, 然后点击进程选项卡。
2.在运行程序列表中,找到先前检测到的恶意文件。
3.选择恶意程序进程,然后点击结束任务或结束进程按钮(取决于windows的版本)。
4.按照上述步骤终止运行程序列表中的其他恶意文件。
5.为了检查恶意程序是否被终止,关掉任务管理器,然后再打开。
6.关掉任务管理器。
________________________________________
*注意: 在运行windows95/98/ME的系统中,任务管理器可能不会显示某一进程。可以使用其他进程查看器(例如:Process Explorer)来终止恶意程序进程。否则,继续进行下面的步骤。
删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
1.打开注册表编辑器。点击开始运行,输入REGEDIT,按Enter
2.在左边的面板中,双击:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
3.在右边的面板中,找到并删除如下项目:
sysformat = “%System%\sysformat.exe”
注意:
%System%是Windows的系统文件夹,在Windows 95, 98, 和ME系统中通常是 C:\Windows\System,在WindowsNT和2000系统中是C:\WINNT\System32,在Windows xp系统中是C:\Windows\System32。
4.关闭注册表编辑器
________________________________________
注意:如果不能按照上述步骤终止运行在内存中的恶意进程,请重启系统。
________________________________________
病毒的清除法:
Windows ME/XP清除说明
运行Windows ME和XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。
运行其他Windows版本的用户可以不需要作次处理。
病毒演示:
病毒所发送的电子邮件有如下细节特征:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-27