病毒名称(中文):
恶鹰AT下载木马
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
7172
影响系统:
Win9xWinNT
病毒行为:
该文件的Worm.Beagle.at从网上下载的病毒文件,用户关闭感染机器上程序自动更新进程,并从网上再下载一个后门文件。
1、将自身复制为:
%System%\widshost.exe
2、在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值
"widshost"="%System%\widshost.exe"
3、远程注入Explorer.exe,假如成功则在进程治理器中消失
4、尝试关闭以下程序更新进程:
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
5、尝试从以下网站下载后门:
http://www.amanit.ru/***.jpg
http://www.anthonyflanagan.com/***.jpg
http://www.approved1stmortgage.com/***.jpg
http://www.argument.h12.ru/***.jpg
http://www.arkebek.de/***.jpg
http://www.artek.org/***.jpg
http://www.asianfestival.nl/***.jpg
http://www.astergut.at/***.jpg
http://www.aviation-center.de/***.jpg
http://www.bbsh.org/***.jpg
http://www.besino.com/***.jpg
http://www.bestbuy.de/***.jpg
http://www.beta.mtw.ru/***.jpg
http://www.bga-gsm.ru/***.jpg
http://www.blessino.com/***.jpg
http://www.blueeyeinc.com/***.jpg
http://www.breaklight.be/***.jpg
http://www.brzesko.net.pl/***.jpg
http://www.catsystem.com.kg/***.jpg
http://www.cdnpartner.com.pl/***.jpg
http://www.ceskyhosting.cz/***.jpg
http://www.channeland.com/***.jpg
http://www.compsolutionstore.com/***.jpg
http://www.concept.kg/***.jpg
http://www.corpsite.com/***.jpg
http://www.couponcapital.net/***.jpg
http://www.DarrkSydebaby.com/***.jpg
http://www.dehut-westerhoven.nl/***.jpg
http://www.dhl.kg/***.jpg
http://www.dierollendedisco.de/***.jpg
http://www.discobaradventure.be/***.jpg
http://www.e-nfo.com/***.jpg
http://www.e-power.com.cn/***.jpg
http://www.ecobank.kg/***.jpg
http://www.elenalazar.com/***.jpg
http://www.epicbiz.com/***.jpg
http://www.europa.kg/***.jpg
http://www.everett.wednet.edu/***.jpg
http://www.externet.hu/***.jpg
http://www.forester.kg/***.jpg
http://www.fotocliparts.de/***.jpg
http://www.fotonw.org/***.jpg
http://www.freesites.com.br/***.jpg
http://www.funbunker.de/***.jpg
http://www.funworld.tv/***.jpg
http://www.gameser.com@share.gameser.com/***.jpg
http://www.gci-bln.de/***.jpg
http://www.gcnet.ru/***.jpg
http://www.giantrevenue.com/***.jpg
http://www.himpsi.org/***.jpg
http://www.i3dvr.com/***.jpg
http://www.ibigmart.net/***.jpg
http://www.idb-group.net/***.jpg
http://www.illusionoflife.net/***.jpg
http://www.infocuspromo.com/***.jpg
http://www.irinaswelt.de/***.jpg
http://www.jansenboiler.com/***.jpg
http://www.jasnet.pl/***.jpg
http://www.jcribeiro.com/***.jpg
http://www.jewelleryamberproducts.com/***.jpg
http://www.jimvann.com/***.jpg
http://www.jldr.ca/***.jpg
http://www.jordanramey.net/***.jpg
http://www.joy-musik-sound.de/***.jpg
http://www.justrepublicans.com/***.jpg
http://www.katel.kg/***.jpg
http://www.knicks.nl/***.jpg
http://www.koebers.pl/***.jpg
http://www.kogaionon.com/***.jpg
http://www.kplus.kg/***.jpg
http://www.kradtraining.de/***.jpg
http://www.kranenberg.de/***.jpg
http://www.kranenberg.de:113547@/***.jpg
http://www.kstrus.com.pl/***.jpg
http://www.ktsonline.de/***.jpg
http://www.lahelaino.com/***.jpg
http://www.lawform.com.au/***.jpg
http://www.leetexgroup.com/***.jpg
http://www.leshrak.de/***.jpg
http://www.leshrak.de:prophets@/***.jpg
http://www.logoseiten.de/***.jpg
http://www.magicbottle.com.tw/***.jpg
http://www.mcuserver.cz/***.jpg
http://www.mega-spass.com/***.jpg
http://www.mega.kg/***.jpg
http://www.mepbisu.de/***.jpg
http://www.mepmh.de/***.jpg
http://www.mtfdesign.com/***.jpg
http://www.mtransit.kg/***.jpg
http://www.neotech.kg/***.jpg
http://www.nikonfotoshare.com/***.jpg
http://www.novosti.kg/***.jpg
http://www.ok.kg/***.jpg
http://www.onepositiveplace.org/***.jpg
http://www.online.kg/***.jpg
http://www.orangesuburban.5u.com/***.jpg
http://www.otv.ch/***.jpg
http://www.pageantpage.com/***.jpg
http://www.pankration.com/***.jpg
http://www.para-agility.com/***.jpg
http://www.pdxracing.net/***.jpg
http://www.pfadfinder-leobersdorf.com/***.jpg
http://www.pipni.cz/***.jpg
http://www.pjwstk.edu.pl/***.jpg
http://www.polizeimotorrad.de/***.jpg
http://www.proway-consulting.com/***.jpg
http://www.pugetsoundyc.org/***.jpg
http://www.pyrlandia-boogie.pl/***.jpg
http://www.qphoto.co.za/***.jpg
http://www.raecoinc.com/***.jpg
http://www.realgps.com/***.jpg
http://www.realty.kg/***.jpg
http://www.redlightpictures.com/***.jpg
http://www.reliance-yachts.com/***.jpg
http://www.relocationflorida.com/***.jpg
http://www.rentalstation.com/***.jpg
http://www.rieraquadros.com.br/***.jpg
http://www.roaming.kg/***.jpg
http://www.sacohalle.be/***.jpg
http://www.scanex-medical.fi/***.jpg
http://www.scoping4success.com/***.jpg
http://www.sert.ru/***.jpg
http://www.sigi.lu/***.jpg
http://www.spadochron.pl/***.jpg
http://www.ssc.kg/***.jpg
http://www.ssmifc.ca/***.jpg
http://www.stadtmeyers.de/***.jpg
http://www.stadtmeyers.de:R2D2c3po@/***.jpg
http://www.sterlingirb.com/***.jpg
http://www.sunassetholdings.com/***.jpg
http://www.szantomierz.art.pl/***.jpg
http://www.szosa.pl/***.jpg
http://www.tambourenvereine.ch/***.jpg
http://www.tarnow.opoka.org.pl/***.jpg
http://www.tc-muraene.com/***.jpg
http://www.tc-muraene.com:hunter@/***.jpg
http://www.theroyalregistry.com/***.jpg
http://www.transportation.gov.bh/***.jpg
http://www.tumar.kg/***.jpg
http://www.tunguska.hu/***.jpg
http://www.turkeyhomes.com/***.jpg
http://www.turkeyhomes.com@/***.jpg
http://www.ulpiano.org/***.jpg
http://www.unicity.pl/***.jpg
http://www.vbw.info/***.jpg
http://www.velezcourtesymanagement.com/***.jpg
http://www.vorrix.com/***.jpg
http://www.webpark.pl/***.jpg
http://www.wecompete.com/***.jpg
http://www.wp.pl/***.jpg
http://www.wwwebad.com/***.jpg
http://www.xpager321.wz.cz/***.jpg
http://www.yamdiamonds.com/***.jpg
http://www.zander-yachting.com/***.jpg
6、下载文件保存在
%SystemRoot%\File.exe
并执行该文件。