病毒名称(中文):
恶鹰bb
病毒别名:
E-mail-Worm.Win32.Bagle.bd[AVP]
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
34304
影响系统:
Win9xWinNT
病毒行为:
该病毒通过邮件进行传播,用户运行邮件附件后,会尝试关闭计算机内的反病毒软件,并从网上下载一个后门。该蠕虫,还会在受感染的机器的文件中搜索电子邮件,并向搜索到的地址发送邮件。诱惑用户打开运行病毒程序。该病毒会向外发送大量的带毒邮件,严重的堵塞用户网络。
病毒发送的邮件
病毒伪装成记事本图标:
1、删除注册表
①删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中的以下键:
SymantecNetDriverMonitor
ccApp
NAVCfgWiz
SSC_UserPrompt
McAfeeGuardian
APVXDWIN
KAV50
avg7_cc
avg7_emc
ZoneLabsClient
②删除注册表
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中的以下键
McAfee.InstantUpdate.Monitor
③删除以下注册表键
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\PandaSoftware
HKLM\SOFTWARE\ZoneLabs
以阻止安全软件运行
2、添加注册表项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"winshost.exe"="%system%\winshost.exe"
3、病毒生成以下文件:
%System%\winshost.exe(病毒本身)
%System%\wiwshost.exe
4、尝试远程注入Explorer.exe,以隐藏进程
5、尝试关闭进程名中含有以下字符的进程
wuauserv
PAVSRV
PAVFNSVR
PSIMSVC
Pavkre
PavProt
PREVSRV
PavPrSrv
SharedAccess
navapsvc
NPFMntor
OutpostFirewall
SAVScan
SBService
SymantecCoreLC
ccEvtMgr
SNDSrvc
ccPwdSvc
ccSetMgr.exe
SPBBCSvc
KLBLMain
avg7alrt
avg7updsvc
vsmon
CAISafe
avpcc
fsbwsys
backwebclient-4476822
backwebclient-4476822
fsdfwd
F-SecureGatekeeperHandlerStarter
FSMA
KAVMonitorService
navapsvc
NProtectService
NortonAntivirusServer
VexiraAntivirus
dvpinit
dvpapi
schscnt
BackWebClient-7681197
F-SecureGatekeeperHandlerStarter
FSMA
AVPCC
KAVMonitorService
NormanNJeeves
NVCScheduler
nvcoas
NormanZANDA
PASSRV
SweepNet
SWEEPSRV.SYS
NOD32ControlCenter
NOD32Service
PCCPFW
Tmntsrv
AvxIni
XCOMM
ravmon8
SmcService
BlackICE
PersFW
McAfeeFirewall
OutpostFirewall
NWService
alerter
sharedaccess
NISUM
NISSERV
vsmon
nwclnth
nwclntg
nwclnte
nwclntf
nwclntd
nwclntc
wuauserv
navapsvc
SymantecCoreLC
SAVScan
kavsvc
DefWatch
SymantecAntiVirusClient
NSCTOP
SymantecCoreLC
SAVScan
SAVFMSE
ccEvtMgr
navapsvc
ccSetMgr
VisNeticAntiVirusPlug-in
McShield
AlertManger
McAfeeFramework
AVExch32Service
AVUPDService
McTaskManager
NetworkAssociatesLogService
OutbreakManager
MCVSRte
mcupdmgr.exe
AvgServ
AvgCore
AvgFsh
awhost32
AhnlabtaskScheduler
MonSvcNT
V3MonNT
V3MonSvc
FSDFWD
6、修改Host文件,以阻止杀毒软件升级:
127.0.0.1localhost
127.0.0.1ad.doubleclick.net
127.0.0.1ad.fastclick.net
127.0.0.1ads.fastclick.net
127.0.0.1ar.atwola.com
127.0.0.1atdmt.com
127.0.0.1avp.ch
127.0.0.1avp.com
127.0.0.1avp.ru
127.0.0.1awaps.net
127.0.0.1banner.fastclick.net
127.0.0.1banners.fastclick.net
127.0.0.1ca.com
127.0.0.1click.atdmt.com
127.0.0.1clicks.atdmt.com
127.0.0.1dispatch.mcafee.com
127.0.0.1download.mcafee.com
127.0.0.1download.microsoft.com
127.0.0.1downloads.microsoft.com
127.0.0.1engine.awaps.net
127.0.0.1fastclick.net
127.0.0.1f-secure.com
127.0.0.1ftp.f-secure.com
127.0.0.1ftp.sophos.com
127.0.0.1go.microsoft.com
127.0.0.1liveupdate.symantec.com
127.0.0.1mast.mcafee.com
127.0.0.1mcafee.com
127.0.0.1media.fastclick.net
127.0.0.1msdn.microsoft.com
127.0.0.1my-etrust.com
127.0.0.1nai.com
127.0.0.1networkassociates.com
127.0.0.1office.microsoft.com
127.0.0.1phx.corporate-ir.net
127.0.0.1secure.nai.com
127.0.0.1securityresponse.symantec.com
127.0.0.1service1.symantec.com
127.0.0.1sophos.com
127.0.0.1spd.atdmt.com
127.0.0.1support.microsoft.com
127.0.0.1symantec.com
127.0.0.1update.symantec.com
127.0.0.1updates.symantec.com
127.0.0.1us.mcafee.com
127.0.0.1vil.nai.com
127.0.0.1viruslist.ru
127.0.0.1windowsupdate.microsoft.com
127.0.0.1www.avp.ch
127.0.0.1www.avp.com
127.0.0.1www.avp.ru
127.0.0.1www.awaps.net
127.0.0.1www.ca.com
127.0.0.1www.fastclick.net
127.0.0.1www.f-secure.com
127.0.0.1www.kaspersky.ru
127.0.0.1www.mcafee.com
127.0.0.1www.my-etrust.com
127.0.0.1www.nai.com
127.0.0.1www.networkassociates.com
127.0.0.1www.sophos.com
127.0.0.1www.symantec.com
127.0.0.1www.trendmicro.com
127.0.0.1www.viruslist.ru
127.0.0.1ftp://ftp.kasperskylab.ru/updates/
127.0.0.1ftp://ftp.avp.ch/updates/
127.0.0.1http://www.kaspersky.ru/updates/
127.0.0.1http://updates1.kaspersky-labs.com/updates/
127.0.0.1http://updates3.kaspersky-labs.com/updates/
127.0.0.1http://updates4.kaspersky-labs.com/updates/
127.0.0.1http://updates2.kaspersky-labs.com/updates/
127.0.0.1http://updates5.kaspersky-labs.com/updates/
127.0.0.1http://downloads1.kaspersky-labs.com/updates/
127.0.0.1http://www.kaspersky-labs.com/updates/
127.0.0.1ftp://updates3.kaspersky-labs.com/updates/
127.0.0.1ftp://downloads1.kaspersky-labs.com/updates/
127.0.0.1www3.ca.com
127.0.0.1ids.kaspersky-labs.com
127.0.0.1downloads2.kaspersky-labs.com
127.0.0.1downloads1.kaspersky-labs.com
127.0.0.1downloads3.kaspersky-labs.com
127.0.0.1downloads4.kaspersky-labs.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1liveupdate.symantec.com
127.0.0.1update.symantec.com
127.0.0.1download.mcafee.com
127.0.0.1www.symantec.com
127.0.0.1securityresponse.symantec.com
127.0.0.1symantec.com
127.0.0.1www.sophos.com
127.0.0.1sophos.com
127.0.0.1www.mcafee.com
127.0.0.1mcafee.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1www.viruslist.com
127.0.0.1viruslist.com
127.0.0.1f-secure.com
127.0.0.1www.f-secure.com
127.0.0.1kaspersky.com
127.0.0.1kaspersky-labs.com
127.0.0.1www.avp.com
127.0.0.1www.kaspersky.com
127.0.0.1avp.com
127.0.0.1www.networkassociates.com
127.0.0.1networkassociates.com
127.0.0.1www.ca.com
127.0.0.1ca.com
127.0.0.1mast.mcafee.com
127.0.0.1my-etrust.com
127.0.0.1www.my-etrust.com
127.0.0.1download.mcafee.com
127.0.0.1dispatch.mcafee.com
127.0.0.1secure.nai.com
127.0.0.1nai.com
127.0.0.1www.nai.com
127.0.0.1update.symantec.com
127.0.0.1updates.symantec.com
127.0.0.1us.mcafee.com
127.0.0.1liveupdate.symantec.com
127.0.0.1customer.symantec.com
127.0.0.1rads.mcafee.com
127.0.0.1trendmicro.com
127.0.0.1www.trendmicro.com
127.0.0.1www.grisoft.com
7、尝试从以下网站下载后门
http://www.***nit.ru/zo2.jpg
http://www.***honyflanagan.com/zo2.jpg
http://www.***roved1stmortgage.com/zo2.jpg
http://www.***ument.h12.ru/zo2.jpg
http://www.***ebek.de/zo2.jpg
http://www.***ek.org/zo2.jpg
http://www.***anfestival.nl/zo2.jpg
http://www.***ergut.at/zo2.jpg
http://www.***ation-center.de/zo2.jpg
http://www.***h.org/zo2.jpg
http://www.***ino.com/zo2.jpg
http://www.***tbuy.de/zo2.jpg
http://www.***a.mtw.ru/zo2.jpg
http://www.***-gsm.ru/zo2.jpg
http://www.***ssino.com/zo2.jpg
http://www.***eeyeinc.com/zo2.jpg
http://www.***aklight.be/zo2.jpg
http://www.***esko.net.pl/zo2.jpg
http://www.***system.com.kg/zo2.jpg
http://www.***partner.com.pl/zo2.jpg
http://www.***kyhosting.cz/zo2.jpg
http://www.***nneland.com/zo2.jpg
http://www.***psolutionstore.com/zo2.jpg
http://www.***cept.kg/zo2.jpg
http://www.***psite.com/zo2.jpg
http://www.***poncapital.net/zo2.jpg
http://www.***rkSydebaby.com/zo2.jpg
http://www.***ut-westerhoven.nl/zo2.jpg
http://www.***.kg/zo2.jpg
http://www.***rollendedisco.de/zo2.jpg
http://www.***cobaradventure.be/zo2.jpg
http://www.***fo.com/zo2.jpg
http://www.***ower.com.cn/zo2.jpg
http://www.***bank.kg/zo2.jpg
http://www.***nalazar.com/zo2.jpg
http://www.***cbiz.com/zo2.jpg
http://www.***opa.kg/zo2.jpg
http://www.***rett.wednet.edu/zo2.jpg
http://www.***ernet.hu/zo2.jpg
http://www.***ester.kg/zo2.jpg
http://www.***ocliparts.de/zo2.jpg
http://www.***onw.org/zo2.jpg
http://www.***esites.com.br/zo2.jpg
http://www.***bunker.de/zo2.jpg
http://www.***world.tv/zo2.jpg
http://www.***eser.com@share.gameser.com/zo2.jpg
http://www.***-bln.de/zo2.jpg
http://www.***et.ru/zo2.jpg
http://www.***ntrevenue.com/zo2.jpg
http://www.***psi.org/zo2.jpg
http://www.***vr.com/zo2.jpg
http://www.***gmart.net/zo2.jpg
http://www.***-group.net/zo2.jpg
http://www.***usionoflife.net/zo2.jpg
http://www.***ocuspromo.com/zo2.jpg
http://www.***naswelt.de/zo2.jpg
http://www.***senboiler.com/zo2.jpg
http://www.***net.pl/zo2.jpg
http://www.***ibeiro.com/zo2.jpg
http://www.***elleryamberproducts.com/zo2.jpg
http://www.***vann.com/zo2.jpg
http://www.***r.ca/zo2.jpg
http://www.***danramey.net/zo2.jpg
http://www.***-musik-sound.de/zo2.jpg
http://www.***trepublicans.com/zo2.jpg
http://www.***el.kg/zo2.jpg
http://www.***cks.nl/zo2.jpg
http://www.***bers.pl/zo2.jpg
http://www.***aionon.com/zo2.jpg
http://www.***us.kg/zo2.jpg
http://www.***dtraining.de/zo2.jpg
http://www.***nenberg.de/zo2.jpg
http://www.***nenberg.de:113547@/zo2.jpg
http://www.***rus.com.pl/zo2.jpg
http://www.***online.de/zo2.jpg
http://www.***elaino.com/zo2.jpg
http://www.***form.com.au/zo2.jpg
http://www.***texgroup.com/zo2.jpg
http://www.***hrak.de/zo2.jpg
http://www.***hrak.de:prophets@/zo2.jpg
http://www.***oseiten.de/zo2.jpg
http://www.***icbottle.com.tw/zo2.jpg
http://www.***server.cz/zo2.jpg
http://www.***a-spass.com/zo2.jpg
http://www.***a.kg/zo2.jpg
http://www.***bisu.de/zo2.jpg
http://www.***mh.de/zo2.jpg
http://www.***design.com/zo2.jpg
http://www.***ansit.kg/zo2.jpg
http://www.***tech.kg/zo2.jpg
http://www.***onfotoshare.com/zo2.jpg
http://www.***osti.kg/zo2.jpg
http://www.***kg/zo2.jpg
http://www.***positiveplace.org/zo2.jpg
http://www.***ine.kg/zo2.jpg
http://www.***ngesuburban.5u.com/zo2.jpg
http://www.***.ch/zo2.jpg
http://www.***eantpage.com/zo2.jpg
http://www.***kration.com/zo2.jpg
http://www.***a-agility.com/zo2.jpg
http://www.***racing.net/zo2.jpg
http://www.***dfinder-leobersdorf.com/zo2.jpg
http://www.***ni.cz/zo2.jpg
http://www.***stk.edu.pl/zo2.jpg
http://www.***izeimotorrad.de/zo2.jpg
http://www.***way-consulting.com/zo2.jpg
http://www.***etsoundyc.org/zo2.jpg
http://www.***landia-boogie.pl/zo2.jpg
http://www.***oto.co.za/zo2.jpg
http://www.***coinc.com/zo2.jpg
http://www.***lgps.com/zo2.jpg
http://www.***lty.kg/zo2.jpg
http://www.***lightpictures.com/zo2.jpg
http://www.***iance-yachts.com/zo2.jpg
http://www.***ocationflorida.com/zo2.jpg
http://www.***talstation.com/zo2.jpg
http://www.***raquadros.com.br/zo2.jpg
http://www.***ming.kg/zo2.jpg
http://www.***ohalle.be/zo2.jpg
http://www.***nex-medical.fi/zo2.jpg
http://www.***ping4success.com/zo2.jpg
http://www.***t.ru/zo2.jpg
http://www.***i.lu/zo2.jpg
http://www.***dochron.pl/zo2.jpg
http://www.***.kg/zo2.jpg
http://www.***ifc.ca/zo2.jpg
http://www.***dtmeyers.de/zo2.jpg
http://www.***dtmeyers.de:R2D2c3po@/zo2.jpg
http://www.***rlingirb.com/zo2.jpg
http://www.***assetholdings.com/zo2.jpg
http://www.***ntomierz.art.pl/zo2.jpg
http://www.***sa.pl/zo2.jpg
http://www.***bourenvereine.ch/zo2.jpg
http://www.***now.opoka.org.pl/zo2.jpg
http://www.***muraene.com/zo2.jpg
http://www.***muraene.com:hunter@/zo2.jpg
http://www.***royalregistry.com/zo2.jpg
http://www.***nsportation.gov.bh/zo2.jpg
http://www.***ar.kg/zo2.jpg
http://www.***guska.hu/zo2.jpg
http://www.***keyhomes.com/zo2.jpg
http://www.***keyhomes.com@/zo2.jpg
http://www.***iano.org/zo2.jpg
http://www.***city.pl/zo2.jpg
http://www.***.info/zo2.jpg
http://www.***ezcourtesymanagement.com/zo2.jpg
http://www.***rix.com/zo2.jpg
http://www.***park.pl/zo2.jpg
http://www.***ompete.com/zo2.jpg
http://www.***pl/zo2.jpg
http://www.***ebad.com/zo2.jpg
http://www.***ger321.wz.cz/zo2.jpg
http://www.***diamonds.com/zo2.jpg
http://www.***der-yachting.com/zo2.jpg