7月22日病毒(1)

病毒名：Win32.Bagle.AE
别名：WORM_BAGLE.AH (Trend), Win32/Bagle.AH.Worm, I-Worm.Bagle.ai (Kaspersky), W32/Bagle.ai@MM (McAfee) , W32.Beagle.AG@mm (Symantec)
种类：Win32
类型：蠕虫
疯狂度：低
破坏性：低
普及度：高
特性： Win32.Bagle.AE是通过邮件和点对点文件共享传播的蠕虫病毒。
感染方式： 当执行的时候Win32.Bagle.AE将自己复制到%System%\winxp.exe并修改注册表以确保副本在每次程序开始的时候可以执行：
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\key = "%System%\winxp.exe"
注：'%System%'是一个可变的路径.病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32.
蠕虫在生成邮件副本的过程中会产生四个以上的文件：
%System%\winxp.exeopen
%System%\winxp.exeopenopen
%System%\winxp.exeopenopenopen
%System%\winxp.exeopenopenopenopen
传播方式：
通过邮件
蠕虫通过可变的主题和消息主体到达邮件。附件也会用一个可变的名字和扩展名。选择从受感染的机器收集的邮件的地址是'spoofed'。
它用下列的扩展名在文件中寻找邮件地址：
.adb； .asp； .cfg； .cgi； .dbx； .dhtm； .eml； .htm； .jsp； .mbx； .mdx；
.mht； .mmf； .msg； .nch； .ods； .oft； .php； .pl； .sht；
.shtm； .stm； .tbb； .txt； .uin； .wab； .wsh； .xls； .xml

它会避免用包括下列任何字符串的地址：

@microsoft； rating@； f-secur； news； update； anyone@； bugs@； contract@； feste； gold-certs@； help@； info@； nobody@； noone@；
kasp； admin； icrosoft； support； ntivi； unix； bsd； linux； listserv； certific； sopho； @foo； @iana； free-av； @messagelab； winzip； google；
winrar； samples； abuse； panda； cafee； spam； pgp； @avp.； noreply； local； root@； postmaster@

当寻找到邮件地址时，它也会寻找扩展名为".exe"的文件。它会利用任意一个.exe的文件并在下次传播的时候复制自己到自己的文件夹中。
蠕虫通过下列特征发送邮件：
主题：
Re:
可能的消息主体：

>foto3 and MP3； >fotogalary and Music； >fotoinfo； >Lovely animals； >Animals； >Predators； >The snake； >Screen and Music

附件可能包含一个保护ZIP文件的密码。如果是这样消息的主体将会包括下列的列表增加或代替上面所列出的：

:)
Password:
Pass -
Key -

是ZIP附件的密码。密码本身也是5个字长的数字（如“40300”）。它是以BMP,GIF或JPEG形式呈现的图像文件。
附件名称是从下列列表中选出的：

MP3； Music_MP3； New_MP3_Player； Cool_MP3； Doll； Garry； Cat； Dog； Fish

下列是扩展名：

.exe； .scr； .com； .zip； .cpl

在ZIP文件下，文件内部会任意产生一个5－9字符长的由小写字母和名字".EXE"扩展名组成的名字。
这个ZIP文件也会包括一个附加的，1000－4999字节长的清除文件，包括随机的数据，任意的名字和下列扩展名中的一个：

.ini； .cfg； .txt； .vxd； .def； .dll； .doc

是有一些附件名字的例子：

foto3.zip containing kgrcamyj.exe andzchyny.def
Secret.zip containing iohnifdl.exe and xpjuprbqf.ini
Dog.cpl
Garry.scr
但连接到.zip的附件时Windows XP操作系统的用户会看见一个下列的对话框：



通过点对点文件共享
当扫描到地址，病毒也会寻找那些名字里包括“shar”字符串的目录。它用下列文件的名字将自己复制到任何一个匹配的目录：
ACDSee 9.exe； Adobe Photoshop 9 full.exe； Ahead Nero 7.exe； Kaspersky Antivirus 5.0； KAV 5.0； Matrix 3 Revolution English Subtitles.exe；
Microsoft Office 2003 Crack, Working!.exe； Microsoft Office XP working Crack, Keygen.exe； Microsoft Windows XP, WinXP Crack, working Keygen.exe； Opera 8 New!.exe；
Porno pics arhive, xxx.exe； Porno Screensaver.scr； Porno, sex, oral, anal cool, awesome!!.exe； Serials.txt.exe；
WinAmp 5 Pro Keygen Crack Update.exe； WinAmp 6 New!.exe； Windown Longhorn Beta Leak.exe； Windows Sourcecode update.doc.exe； XXX hardcore images.exe

这可以使蠕虫像Kazaa那样通过点对点的共享文件网络传播。
危害：
后门功能
蠕虫打开允许远程登陆的机器的1080端口的后门。这个后门可以用作下载和执行文件并可更新病毒。它也可以根据命令改变端口。
删除注册表值
蠕虫试图通过一些反病毒和一些安全的应用软件的键值转移下列注册表值：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:
My AV； Zone Labs Client Ex； 9XHtProtect； Antivirus； Special Firewall Service； service； Tiny AV； ICQNet； HtProtect； NetDy；
Jammer2nd； FirewallSvr； MsInfo； SysMonXP； EasyAV； PandaAVEngine； Norton Antivirus AV； KasperskyAVEng； SkynetsRevenge； ICQ Net

中止进程
蠕虫会中止下列进程（与一些反病毒和安全应用软件相关的）：

AGENTSVR.EXE ANTI-TROJAN.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVGSERV9.EXE AVLTMAIN.EXE AVprotect9x.exe AVPUPD.EXE AVSYNMGR.EXE AVWUPD32.EXE AVXQUAR.EXE BD_PROFESSIONAL.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BOOTWARN.EXE BORG2.EXE BS120.EXE CDP.EXE CFGWIZ.EXE CFGWIZ.EXE CFIADMIN.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFINET.EXE CFINET.EXE CFINET32.EXE CFINET32.EXE CLEAN.EXE CLEAN.EXE CLEANER.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLEANPC.EXE CMGRDIAN.EXE CMGRDIAN.EXE CMON016.EXE CMON016.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CV.EXE CWNB181.EXE CWNTDWMO.EXE DEFWATCH.EXE DEPUTY.EXE DPF.EXE DPFSETUP.EXE DRWATSON.EXE DRWEBUPW.EXE ENT.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE EXANTIVIRUS-CNET.EXE FAST.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FP-WIN_TRIAL.EXE FRW.EXE FSAV.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE GBMENU.EXE GBPOLL.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HTLOG.EXE HWPE.EXE IAMAPP.EXE IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPP95.EXE ICSUPPNT.EXE IFW2000.EXE IPARMOR.EXE IRIS.EXE JAMMER.EXE KAVLITE40ENG.EXE KAVPERS40ENG.EXE KERIO-PF-213-EN-WIN.EXE KERIO-WRL-421-EN-WIN.EXE KERIO-WRP-421-EN-WIN.EXE KILLPROCESSSETUP161.EXE LDPRO.EXE LOCALNET.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LSETUP.EXE LUALL.EXE LUCOMSERVER.EXE LUINIT.EXE MCAGENT.EXE MCUPDATE.EXE MCUPDATE.EXE MFW2EN.EXE MFWENG3.02D30.EXE MGUI.EXE MINILOG.EXE MOOLIVE.EXE MRFLUX.EXE MSCONFIG.EXE MSINFO32.EXE MSSMMC32.EXE MU0311AD.EXE NAV80TRY.EXE NAVAPW32.EXE NAVDX.EXE NAVSTUB.EXE NAVW32.EXE NC2000.EXE NCINST4.EXE NDD32.EXE NEOMONITOR.EXE NETARMOR.EXE NETINFO.EXE NETMON.EXE NETSCANPRO.EXE

NETSPYHUNTER-1.2.EXE NETSTAT.EXE NISSERV.EXE NISUM.EXE NMAIN.EXE NORTON_INTERNET_SECU_3.0_407.EXE NPF40_TW_98_NT_ME_2K.EXE NPFMESSENGER.EXE NPROTECT.EXE NSCHED32.EXE NTVDM.EXE NUPGRADE.EXE NVARCH16.EXE NWINST4.EXE NWTOOL16.EXE OSTRONET.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE PADMIN.EXE PANIXK.EXE PAVPROXY.EXE PCC2002S902.EXE PCC2K_76_1436.EXE PCCIOMON.EXE PCDSETUP.EXE PCFWALLICON.EXE PCFWALLICON.EXE PCIP10117_0.EXE PDSETUP.EXE PERISCOPE.EXE PERSFW.EXE PF2.EXE PFWADMIN.EXE PINGSCAN.EXE PLATIN.EXE POPROXY.EXE POPSCAN.EXE PORTDETECTIVE.EXE PPINUPDT.EXE PPTBC.EXE PPVSTOP.EXE PROCEXPLORERV1.0.EXE PROPORT.EXE PROTECTX.EXE PSPF.EXE PURGE.EXE PVIEW95.EXE QCONSOLE.EXE QSERVER.EXE RAV8WIN32ENG.EXE REGEDIT.EXE REGEDT32.EXE RESCUE.EXE RESCUE32.EXE RRGUARD.EXE RSHELL.EXE RTVSCN95.EXE RULAUNCH.EXE SAFEWEB.EXE SBSERV.EXE SD.EXE SETUPVAMEEVAL.EXE SETUP_FLOWPROTECTOR_US.EXE SFC.EXE SGSSFW32.EXE SH.EXE SHELLSPYINSTALL.EXE SHN.EXE SMC.EXE SOFI.EXE SPF.EXE SPHINX.EXE SPYXX.EXE SS3EDIT.EXE ST2.EXE SUPFTRL.EXE SUPPORTER5.EXE SYMPROXYSVC.EXE SYSEDIT.EXE SYS_XP.EXE SYSXP.EXE TASKMON.EXE TAUMON.EXE TAUSCAN.EXE TC.EXE TCA.EXE TCM.EXE TDS-3.EXE TDS2-98.EXE TDS2-NT.EXE TFAK5.EXE TGBOB.EXE TITANIN.EXE TITANINXP.EXE TRACERT.EXE TRJSCAN.EXE TRJSETUP.EXE TROJANTRAP3.EXE UNDOBOOT.EXE UPDATE.EXE VBCMSERV.EXE VBCONS.EXE VBUST.EXE VBWIN9X.EXE VBWINNTW.EXE VCSETUP.EXE VFSETUP.EXE VIRUSMDPERSONALFIREWALL.EXE VNLAN300.EXE VNPC3000.EXE VPC42.EXE VPFW30S.EXE VPTRAY.EXE VSCENU6.02D30.EXE VSECOMR.EXE VSHWIN32.EXE VSISETUP.EXE VSMAIN.EXE VSMON.EXE VSSTAT.EXE VSWIN9XE.EXE VSWINNTSE.EXE VSWINPERSE.EXE W32DSM89.EXE W9X.EXE WATCHDOG.EXE WEBSCANX.EXE WGFE95.EXE WHOSWATCHINGME.EXE WHOSWATCHINGME.EXE WINRECON.EXE WNT.EXE WRADMIN.EXE WRCTRL.EXE WSBGATE.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZAUINST.EXE ZONALM2601.EXE ZONEALARM.EXE

下载并执行任意的文件
Bagle.AE包括一个138 URLs的列表。它试图下载每一个URL把结果保存到%System%\re_file.exe下并执行。在读写时没有一个URLS时可用的。
附加信息： 蠕虫创造一些互斥体以确保只有一个病毒的副本在受感染的系统运行。
* MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
* 'D'r'o'p'p'e'd'S'k'y'N'e't'
* _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
* [SkyNet.cz]SystemsMutex
* AdmSkynetJklS003
* ____--->>>>U<<<<--____
* _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
如果病毒在2006年5月5日或稍微晚些发作，它会从注册表中转移并中止。病毒文件将不会自动运行。
检测/清除： 　　KILL安全胄甲 inoculateIT v23.65.78 vet 11.x/8458可检测/清除此病毒。

(责任编辑：宋红伟)

KILL病毒专杀工具

KILL病毒代码库升级地址