9月2日病毒

病毒名	Win32.Bagle.AI
别名	Win32/Bagle.AI.Worm, I-Worm.Bagle.an (Kaspersky), W32/Bagle.at@MM (McAfee), W32.Beagle.AQ@mm
种类	Win32	类型	蠕虫	传播性	低	破坏性	中	普及度	中
病毒特征	Win32.Bagle.AI是通过邮件和点对点共享文件夹传播的。病毒会以附件的形式来发送自己。病毒是大小为18，436字节的UPX可执行文件。
检测/清除	KILL安全胄甲inoculateIT v23.66.33 vet 11.x/8559 版可检测/清除此病毒。
感染方式	运行时Win32.Bagle.AI把自己拷贝到： %System%\windll.exe 它也添加注册键值： HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\erthgdr = "%System%\windll.exe" 这个注册键值没有实际的作用，当系统运行时病毒不能自动运行。 病毒会在进程中创建两个副本： %System%\windll.exeopen %System%\windll.exeopenopen 注释：'%System%'是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下， WIN2000和NT的安装位置是C:\WINNT\SYSTEM32 ;95,98和ME的是C:\windows\system;xp的是C:\windows\systm32.
传播方式	1，通过邮件传播： Bagle.AI 不会通过邮件来发送自己。取而代之的是它依附在一个包括Win32.Glieder.H病毒，并可下载 Bagle.AI来继续传播的 ZIP文件中。 发送病毒的邮件特征： 从被感染的系统中搜索邮件地址，发件人地址是'spoofed'。 题目： Foto 内容： Foto 附件： foto.zip 或 fotos.zip 附件压缩文件包含： foto\foto.html foto\foto\foto1.exe 病毒搜索本地计算机的固定驱动器，收集邮件地址发送它自己，并且伪装发信人地址。它搜索的文件有下列扩展名： .adb；.asp；.cfg；.cgi；.dbx；.dhtm；.eml；.htm；.jsp；.mbx；.mdx；.mht；.mmf；.msg；.nch；.ods ；.oft；.php；.pl；.sht；.shtm；.stm；.tbb；.txt；.uin；.wab；.wsh；.xls；.xm； 它避免包含下列的邮件地址： @avp.；@derewrdgrs；@eerswqe；@foo；@iana；@messagelab；@microsoft；abuse；admin；anyone@；bsd；bugs@；cafee；certific；contract@；f-secur；feste；free-av；gold-certs@；google；help@；icrosoft；info@；kasp；linux；listserv；local；news；nobody@；noone@；noreply；ntivi；panda；pgp；postmaster@；rating@；root@；samples；sopho；spam；support；unix；update；winrar；winzip 病毒利用自己的SMTP发送邮件。它使用本地系统默认DNS服务器执行一个MX回环来查找每个接收地址的合适的邮件服务器。如果不能在本地系统中发现DNS服务器，病毒尝试使用一个217.5.97.137地址。 2，点对点共享文件 从文件中搜索邮件地址，病毒通常从名字包含“shar”的文件中搜索邮件地址。它每次拷贝自己到有下列名字的目录中： ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe KAV 5.0 Kaspersky Antivirus 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno Screensaver.scr Porno pics arhive, xxx.exe Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe 病毒通过网络共享进行传播，例如：Kazaa。
危害	1，后门功能 病毒打开TCP82端口，允许远端机器使用。这个端口可以上传可执行文件，并且更新病毒。它通常也可以命令更换监听端口。 2，删除键值 病毒可以删除下列注册键值： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n:   9XHtProtect；Antivirus；EasyAV；FirewallSvr；HtProtect；ICQ Net；ICQNet；Jammer2nd；KasperskyAVEng；MsInfo；My AV；NetDy；Norton Antivirus AV；PandaAVEngine；SkynetsRevenge；Special Firewall Service；SysMonXP；Tiny AV；Zone Labs Client Ex；service 3，终止进程 病毒可以终止名称中包含下列的进程： no1t1ad.exe t1es451t.exe
附加信息	病毒会创建下列互斥体： MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 'D'r'o'p'p'e'd'S'k'y'N'e't'  _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003  ____--->>>>U<<<<--____  _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

(T101)