Win32.Troj.Beagle.at

病毒名称(中文):

恶鹰AT下载木马

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

7172

影响系统:

Win9xWinNT

病毒行为:

该文件的Worm.Beagle.at从网上下载的病毒文件，用户关闭感染机器上程序自动更新进程，并从网上再下载一个后门文件。

1、将自身复制为：

%System%\widshost.exe

2、在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加如下键值

"widshost"="%System%\widshost.exe"

3、远程注入Explorer.exe，假如成功则在进程治理器中消失

4、尝试关闭以下程序更新进程：

AVXQUAR.EXE

ESCANHNT.EXE

UPGRADER.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

FIREWALL.EXE

ATUPDATER.EXE

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

5、尝试从以下网站下载后门：

http://www.amanit.ru/***.jpg

http://www.anthonyflanagan.com/***.jpg

http://www.approved1stmortgage.com/***.jpg

http://www.argument.h12.ru/***.jpg

http://www.arkebek.de/***.jpg

http://www.artek.org/***.jpg

http://www.asianfestival.nl/***.jpg

http://www.astergut.at/***.jpg

http://www.aviation-center.de/***.jpg

http://www.bbsh.org/***.jpg

http://www.besino.com/***.jpg

http://www.bestbuy.de/***.jpg

http://www.beta.mtw.ru/***.jpg

http://www.bga-gsm.ru/***.jpg

http://www.blessino.com/***.jpg

http://www.blueeyeinc.com/***.jpg

http://www.breaklight.be/***.jpg

http://www.brzesko.net.pl/***.jpg

http://www.catsystem.com.kg/***.jpg

http://www.cdnpartner.com.pl/***.jpg

http://www.ceskyhosting.cz/***.jpg

http://www.channeland.com/***.jpg

http://www.compsolutionstore.com/***.jpg

http://www.concept.kg/***.jpg

http://www.corpsite.com/***.jpg

http://www.couponcapital.net/***.jpg

http://www.DarrkSydebaby.com/***.jpg

http://www.dehut-westerhoven.nl/***.jpg

http://www.dhl.kg/***.jpg

http://www.dierollendedisco.de/***.jpg

http://www.discobaradventure.be/***.jpg

http://www.e-nfo.com/***.jpg

http://www.e-power.com.cn/***.jpg

http://www.ecobank.kg/***.jpg

http://www.elenalazar.com/***.jpg

http://www.epicbiz.com/***.jpg

http://www.europa.kg/***.jpg

http://www.everett.wednet.edu/***.jpg

http://www.externet.hu/***.jpg

http://www.forester.kg/***.jpg

http://www.fotocliparts.de/***.jpg

http://www.fotonw.org/***.jpg

http://www.freesites.com.br/***.jpg

http://www.funbunker.de/***.jpg

http://www.funworld.tv/***.jpg

http://www.gameser.com@share.gameser.com/***.jpg

http://www.gci-bln.de/***.jpg

http://www.gcnet.ru/***.jpg

http://www.giantrevenue.com/***.jpg

http://www.himpsi.org/***.jpg

http://www.i3dvr.com/***.jpg

http://www.ibigmart.net/***.jpg

http://www.idb-group.net/***.jpg

http://www.illusionoflife.net/***.jpg

http://www.infocuspromo.com/***.jpg

http://www.irinaswelt.de/***.jpg

http://www.jansenboiler.com/***.jpg

http://www.jasnet.pl/***.jpg

http://www.jcribeiro.com/***.jpg

http://www.jewelleryamberproducts.com/***.jpg

http://www.jimvann.com/***.jpg

http://www.jldr.ca/***.jpg

http://www.jordanramey.net/***.jpg

http://www.joy-musik-sound.de/***.jpg

http://www.justrepublicans.com/***.jpg

http://www.katel.kg/***.jpg

http://www.knicks.nl/***.jpg

http://www.koebers.pl/***.jpg

http://www.kogaionon.com/***.jpg

http://www.kplus.kg/***.jpg

http://www.kradtraining.de/***.jpg

http://www.kranenberg.de/***.jpg

http://www.kranenberg.de:113547@/***.jpg

http://www.kstrus.com.pl/***.jpg

http://www.ktsonline.de/***.jpg

http://www.lahelaino.com/***.jpg

http://www.lawform.com.au/***.jpg

http://www.leetexgroup.com/***.jpg

http://www.leshrak.de/***.jpg

http://www.leshrak.de:prophets@/***.jpg

http://www.logoseiten.de/***.jpg

http://www.magicbottle.com.tw/***.jpg

http://www.mcuserver.cz/***.jpg

http://www.mega-spass.com/***.jpg

http://www.mega.kg/***.jpg

http://www.mepbisu.de/***.jpg

http://www.mepmh.de/***.jpg

http://www.mtfdesign.com/***.jpg

http://www.mtransit.kg/***.jpg

http://www.neotech.kg/***.jpg

http://www.nikonfotoshare.com/***.jpg

http://www.novosti.kg/***.jpg

http://www.ok.kg/***.jpg

http://www.onepositiveplace.org/***.jpg

http://www.online.kg/***.jpg

http://www.orangesuburban.5u.com/***.jpg

http://www.otv.ch/***.jpg

http://www.pageantpage.com/***.jpg

http://www.pankration.com/***.jpg

http://www.para-agility.com/***.jpg

http://www.pdxracing.net/***.jpg

http://www.pfadfinder-leobersdorf.com/***.jpg

http://www.pipni.cz/***.jpg

http://www.pjwstk.edu.pl/***.jpg

http://www.polizeimotorrad.de/***.jpg

http://www.proway-consulting.com/***.jpg

http://www.pugetsoundyc.org/***.jpg

http://www.pyrlandia-boogie.pl/***.jpg

http://www.qphoto.co.za/***.jpg

http://www.raecoinc.com/***.jpg

http://www.realgps.com/***.jpg

http://www.realty.kg/***.jpg

http://www.redlightpictures.com/***.jpg

http://www.reliance-yachts.com/***.jpg

http://www.relocationflorida.com/***.jpg

http://www.rentalstation.com/***.jpg

http://www.rieraquadros.com.br/***.jpg

http://www.roaming.kg/***.jpg

http://www.sacohalle.be/***.jpg

http://www.scanex-medical.fi/***.jpg

http://www.scoping4success.com/***.jpg

http://www.sert.ru/***.jpg

http://www.sigi.lu/***.jpg

http://www.spadochron.pl/***.jpg

http://www.ssc.kg/***.jpg

http://www.ssmifc.ca/***.jpg

http://www.stadtmeyers.de/***.jpg

http://www.stadtmeyers.de:R2D2c3po@/***.jpg

http://www.sterlingirb.com/***.jpg

http://www.sunassetholdings.com/***.jpg

http://www.szantomierz.art.pl/***.jpg

http://www.szosa.pl/***.jpg

http://www.tambourenvereine.ch/***.jpg

http://www.tarnow.opoka.org.pl/***.jpg

http://www.tc-muraene.com/***.jpg

http://www.tc-muraene.com:hunter@/***.jpg

http://www.theroyalregistry.com/***.jpg

http://www.transportation.gov.bh/***.jpg

http://www.tumar.kg/***.jpg

http://www.tunguska.hu/***.jpg

http://www.turkeyhomes.com/***.jpg

http://www.turkeyhomes.com@/***.jpg

http://www.ulpiano.org/***.jpg

http://www.unicity.pl/***.jpg

http://www.vbw.info/***.jpg

http://www.velezcourtesymanagement.com/***.jpg

http://www.vorrix.com/***.jpg

http://www.webpark.pl/***.jpg

http://www.wecompete.com/***.jpg

http://www.wp.pl/***.jpg

http://www.wwwebad.com/***.jpg

http://www.xpager321.wz.cz/***.jpg

http://www.yamdiamonds.com/***.jpg

http://www.zander-yachting.com/***.jpg

6、下载文件保存在

%SystemRoot%\File.exe

并执行该文件。

• 未来我们可以和性爱机器人结婚吗？
  探索
• 什么是脂肪粒？如何消除脸部脂肪粒？
  女性
• 五个症状提醒你免疫力在下降了
  健康
• 韩式辣椒酱爆伍丁(图)－西餐菜谱
  美食
• 国庆节搞笑祝福短信
  干货
• 女子体内爬出大量瓜子状活虫
  百态

• ·Win32.Troj.LowZones.b
• ·Worm.Shoho.c
• ·Worm.Shoho.b
• ·Win32.Invictus
• ·Worm.ImpoFile.b
• ·Win32.Troj.Favadd.c
• ·Win32.Troj.HelWinJxon
• ·Worm.Shoho.a
• ·Worm.Frethem.i
• ·Win32.Salvme.a