Worm.Bagz.d

王朝other·作者佚名 2008-05-31

宽屏版字体: 小|中|大|超大

病毒名称:

Worm.Bagz.d

类别：蠕虫

病毒资料：

破坏方法：

一个用VC编写的蠕虫病毒，采用Upx压缩

病毒行为：

病毒运行后将自己复制到％system％目录下，文件名为Rpc32.exe并将自己注册成服务以达到随系统启动的目的。

病毒驻留内存后将做以下动作：

1.修改hosts文件

病毒将在hosts文件里加入以下网站，使之指向127.0.0.1

www3.ca.com，www.viruslist.ru，www.trendmicro.com，www.symantec.com，www.sophos.com

www.networkassociates.com，www.nai.com，

www.my-etrust.com，www.McAfee.com

www.kASPersky.ru，www.f-secure.com，

www.fastclick.net，www.ca.com，www.awaps.net

www.avp.ru，www.avp.com，www.avp.ch，windowsupdate.microsoft.com，viruslist.ru

vil.nai.com.us.mcafee.com，updates.symantec.com，update.symantec.com，symantec.com

support.microsoft.com，spd.atdmt.com，

sophos.com，service1.symantec.com

securityresponse.symantec.com，secure.nai.com，.phx.corporate-ir.net

Office.microsoft.com，.....

2.遍历删除一些特定的系统服务。

病毒将遍历系统的服务，并将服务文件名为以下字串的服务删除。

\pfwadmin.exe，\persfw.exe，\sched.exe.，

\aswupdsv.exe，\aswregsvr.exe，\aswboot.exe，

\ashskpck.exe，\ashskpcc.exe，\ashsimpl.exe.，ashserv.exe，\ashquick.exe.，ashpopwz.exe

\ashmaisv.exe，\ashlogv.exe，\ashdisp.exe，\ashchest.exe，\ashbug.exe，\ashavast.exe

\symnavo.dll，\statushp.dll，\sdstp32i.dll，\sdsok32i.dll，\sdsnd32i.dll，\sdpck32i.dll

\scriptui.dll，\scanmgr.dll，\scandres.dll，\scandlvr.dll，\savscan.exe，\savrtpel.sys

\savrt32.dll，\savrt.sys，\s32navo.dll，

\s32integ.dll，\quaropts.dat，

\quarantine\quar32.dll

.....

3.遍历删除注册表键值。

病毒遍历以下几个主键里的所有注册表键值，并在其中搜索一些在病毒体内保存的字串，当病毒发现存在这些字串时，病毒将该注册表键删除。

HKEY_CLASSES_ROOT，

HKEY_CURRENT_USER，

HKEY_LOCAL_MACHINE，

HKEY_USERS，

HKEY_CURRENT_CONFIG

病毒体内保存的子串：

\pfwadmin.exe，

\persfw.exe，

\sched.exe.，

\aswupdsv.exe，

\aswregsvr.exe，

\aswboot.exe，

\ashskpck.exe，

\ashskpcc.exe，

\ashsimpl.exe.，

\ashserv.exe，

\ashquick.exe.，

\ashpopwz.exe

\ashmaisv.exe，

\ashlogv.exe，

\ashdisp.exe，

\ashchest.exe，

\ashbug.exe，

\ashavast.exe

\symnavo.dll，

\statushp.dll，

\sdstp32i.dll，

\sdsok32i.dll，

\sdsnd32i.dll，

\sdpck32i.dll

\scriptui.dll，

\scanmgr.dll，

\scandres.dll，

\scandlvr.dll，

\savscan.exe，

\savrtpel.sys

\savrt32.dll，

\savrt.sys，

\s32navo.dll，

\s32integ.dll，

\quaropts.dat，

\quarantine,

\quar32.dll ,

.....

4.邮件传播：

病毒搜索C:盘里的后缀为TBB，tbb，TBI，tbi，DBX，dbx，HTM，htm，TXT，txt的文件，并尝试从中提取email地址。随后将等待一个有效的网络联接时对其进行邮件传播。

病毒将跳过邮件地址中含有以下字串的邮件地址，以避免过早被反毒软件厂商获得病毒。

webmaster@，update，unix，support@，

support，spam，sopho，samples.root@

rating@，postmaster@，pgp，panda，ntivi，noreply.noone@，nobody@，news

netadmin@，local，listserv，

Linux，kasp，info@，icrosoft，

hostmaster@ help@，Google，gold-certs@，

gold-，free-av，feste，f-secur，contract@

contact@，certs@，certific，cafee，bugs@，

bsd，anyone@，all@，administrator@

admin，abuse，@microsoft，@messagelab，

@iana，@foo，@avp....

邮件标题：

ASAP,please responce,Read this,

urgent,toxic,contract,

Money,office,Have a nice day

Hello,Russian's,Amirecans,attachments,

attach,waiting.best regards,Administrator

Warning.text,Vasia,re: Andrey,re: please,re: order,Allert!

邮件内容：

Att.Hi ..Did you get the previous document I attached for you?.

I resent it in this email just in case, because I.really need you to check it out asap

Best Regards ,Hi ..I made a mistake and forgot to click attach.on the

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-10-22