反饋

W32.Beagle.AG@mm

W32.Beagle.AG@mm是羣發郵件蠕蟲，它使用自己的SMTP引擎通過電子郵件傳播並在TCP端口1080上打開後門。該電子郵件的主題和文件附件變化多端。附件會使用·com、.cpl、.exe、.hta、.scr、.vbs或·zip文件擴展名。感染Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows XP等系統。

外文名: W32.Beagle.AG@mm
類型: Worm

感染長度: varies
發現: 2004 年 7 月 19 日

W32.Beagle.AG@mm病毒信息

更新： 2007 年 2 月 13 日 12:27:13 PM

別名： WORM_BAGLE.AH [Trend Micro], W32/Bagleai@MM [McAfee], W32/Bagle-AI [Sophos], Win32.BagleAI [Computer Assoc], I-Worm.Bagleai [Kaspersky]

該蠕蟲使用 PeX 打包

W32.Beagle.AG@mm防護

* 病毒定義（每週 LiveUpdate™） 2004 年 7 月 19 日

* 病毒定義（智能更新程序） 2004 年 7 月 19 日

W32.Beagle.AG@mm威脅評估

W32.Beagle.AG@mm廣度

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分佈： Low

* 威脅抑制： Easy

* 清除： Moderate

W32.Beagle.AG@mm損壞

* 損壞級別： Medium

* 大規模發送電子郵件： Sends email to the addresses collected from an infected computer.

* 降低性能： Mass-mailing may clog mail servers or degrade network performance.

* 危及安全設置： Terminates processes associated with various security-related programs. Allows unauthorized remote access to a compromised host.

W32.Beagle.AG@mm分發

* 分發級別： High

* 電子郵件的主題： Varies

* 附件名稱： Varies with a .com, .cpl, .exe, .scr, or .zip file extension.

* 附件大小： Varies

W32.BeagleAG@mm 運行時會執行下列操作：

1. 從鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

刪除包含以下字符串的值:

9XHtProtect

Antivirus

EasyAV

FirewallSvr

HtProtect

ICQ Net

ICQNet

Jammer2nd

KasperskyAVEng

MsInfo

My AV

NetDy

Norton Antivirus AV

PandaAVEngine

service

SkynetsRevenge

Special Firewall Service

SysMonXP

Tiny AV

Zone Labs Client Ex

2. 創建下列文件：

%System%\winxp.exe

%System%\winxp.exeopen

%System%\winxp.exeopenopen

%System%\winxp.exeopenopenopen

%System%\winxp.exeopenopenopenopen

注意：%System% 是一個變量。蠕蟲會找到 System 文件夾，並將自身複製到其中。默認情況下，此文件夾為 C:\Windows\System

(Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

3. 放入文件 %System%\winxp.exeopenopen。該文件是 .zip 或 .cpl 文件：

* 如果文件是 .zip 文件，它將包含兩個隨機命名的文件。一個是 .exe 文件，另一個是擴展名為 .sys、.dat、.idx、.vxd、.vid 或 .dll 的文本文件。

* 如果文件是 .cpl 文件且被執行，則它會將一個名為 cplstub.exe 的文件放入 %Windir% 文件夾。

Note: %Windir% 是一個變量。蠕蟲會找到 Windows installation 文件夾，並將自身複製到其中。默認情況下，此文件夾為 (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.

4. 將值：

"key" = "%System%\winxp.exe"

添加到註冊表鍵：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru

這樣，該蠕蟲的放置程序便可在 Windows啓動時運行。

5. 打開 TCP 端口 1080 上的後門，以使受感染計算機作為電子郵件中繼使用。

6. 聯繫各域的 .php 腳本，有關獲各域名，請參考下方域中的各域名。

7. 結束與軟件相關的進程。有關獲各進程名，請參考下方進程中的各進程名

8. 試圖在所有包含“shar”字符的文件夾下創建其自身的副本。文件將有以下文件名稱：

* ACDSee 9.exe

* Adobe Photoshop 9 full.exe

* Ahead Nero 7.exe

* Kaspersky Antivirus 5.0

* KAV 5.0

* Matrix 3 Revolution English Subtitles.exe

* Microsoft Office 2003 Crack, Working!.exe

* Microsoft Office XP working Crack, Keygen.exe

* Microsoft Windows XP, WinXP Crack, working Keygen.exe

* Opera 8 New!.exe

* Porno pics arhive, xxx.exe

* Porno Screensaver.scr

* Porno, sex, oral, anal cool, awesome!!.exe

* Serials.txt.exe

* WinAmp 5 Pro Keygen Crack Update.exe

* WinAmp 6 New!.exe

* Windown Longhorn Beta Leak.exe

* Windows Sourcecode update.doc.exe

* XXX hardcore images.exe

9. 在具有以下擴展名的文件中搜索電子郵件地址：

* .adb

* .asp

* .cfg

* .cgi

* .dbx

* .dhtm

* .eml

* .htm

* .jsp

* .mbx

* .mdx

* .mht

* .mmf

* .msg

* .nch

* .ods

* .oft

* .php

* .pl

* .sht

* .shtm

* .stm

* .tbb

* .txt

* .uin

* .wab

* .wsh

* .xls

* .xml

10. 使用自己的 SMTP 引擎向找到的電子郵件地址發送電子郵件。所發送的電子郵件具有下列特徵：

發件人：<欺騙性>

主題： Re_

正文：

* foto3 and MP3

* fotogalary and Music

* fotoinfo

* Lovely animals

* Animals

* Predators

* The snake

* Screen and Music

附件：（下列之一）

* Cat

* Cool_MP3

* Dog

* Doll

* Fish

* Garry

* MP3

* Music_MP3

* New_MP3_Player

附件擴展名：（下列之一）

* .exe

* .scr

* .com

* .cpl

* .zip

域

進程

W32.BeagleAG@mm 試圖終止具有以下名稱的進程：

* AGENTSVR.EXE

* ANTI-TROJAN.EXE

* ANTIVIRUS.EXE

* ANTS.EXE

* APIMONITOR.EXE

* APLICA32.EXE

* APVXDWIN.EXE

* ATCON.EXE

* ATGUARD.EXE

* ATRO55EN.EXE

* ATUPDATER.EXE

* ATWATCH.EXE

* AUPDATE.EXE

* AUTODOWN.EXE

* AUTOTRACE.EXE

* AUTOUPDATE.EXE

* AVCONSOL.EXE

* AVGSERV9.EXE

* AVLTMAIN.EXE

* AVprotect9x.exe

* AVPUPD.EXE

* AVSYNMGR.EXE

* AVWUPD32.EXE

* AVXQUAR.EXE

* BD_PROFESSIONAL.EXE

* BIDEF.EXE

* BIDSERVER.EXE

* BIPCP.EXE

* BIPCPEVALSETUP.EXE

* BISP.EXE

* BLACKD.EXE

* BLACKICE.EXE

* BOOTWARN.EXE

* BORG2.EXE

* BS120.EXE

* CDP.EXE

* CFGWIZ.EXE

* CFIADMIN.EXE

* CFIAUDIT.EXE

* CFINET.EXE

* CFINET32.EXE

* CLEAN.EXE

* CLEANER.EXE

* CLEANER3.EXE

* CLEANPC.EXE

* CMGRDIAN.EXE

* CMON016.EXE

* CPD.EXE

* CPF9X206.EXE

* CPFNT206.EXE

* CV.EXE

* CWNB181.EXE

* CWNTDWMO.EXE

* DEFWATCH.EXE

* DEPUTY.EXE

* DPF.EXE

* DPFSETUP.EXE

* DRWATSON.EXE

* DRWEBUPW.EXE

* ENT.EXE

* ESCANH95.EXE

* ESCANHNT.EXE

* ESCANV95.EXE

* EXANTIVIRUS-CNET.EXE

* FAST.EXE

* FIREWALL.EXE

* FLOWPROTECTOR.EXE

* FP-WIN_TRIAL.EXE

* FRW.EXE

* FSAV.EXE

* FSAV530STBYB.EXE

* FSAV530WTBYB.EXE

* FSAV95.EXE

* GBMENU.EXE

* GBPOLL.EXE

* GUARD.EXE

* GUARDDOG.EXE

* HACKTRACERSETUP.EXE

* HTLOG.EXE

* HWPE.EXE

* IAMAPP.EXE

* IAMSERV.EXE

* ICLOAD95.EXE

* ICLOADNT.EXE

* ICMON.EXE

* ICSSUPPNT.EXE

* ICSUPP95.EXE

* ICSUPPNT.EXE

* IFW2000.EXE

* IPARMOR.EXE

* IRIS.EXE

* JAMMER.EXE

* KAVLITE40ENG.EXE

* KAVPERS40ENG.EXE

* KERIO-PF-213-EN-WIN.EXE

* KERIO-WRL-421-EN-WIN.EXE

* KERIO-WRP-421-EN-WIN.EXE

* KILLPROCESSSETUP161.EXE

* LDPRO.EXE

* LOCALNET.EXE

* LOCKDOWN.EXE

* LOCKDOWN2000.EXE

* LSETUP.EXE

* LUALL.EXE

* LUCOMSERVER.EXE

* LUINIT.EXE

* MCAGENT.EXE

* MCUPDATE.EXE

* MFW2EN.EXE

* MFWENG3.02D30.EXE

* MGUI.EXE

* MINILOG.EXE

* MOOLIVE.EXE

* MRFLUX.EXE

* MSCONFIG.EXE

* MSINFO32.EXE

* MSSMMC32.EXE

* MU0311AD.EXE

* NAV80TRY.EXE

* NAVAPW32.EXE

* NAVDX.EXE

* NAVSTUB.EXE

* NAVW32.EXE

* NC2000.EXE

* NCINST4.EXE

* NDD32.EXE

* NEOMONITOR.EXE

* NETARMOR.EXE

* NETINFO.EXE

* NETMON.EXE

* NETSCANPRO.EXE

* NETSPYHUNTER-1.2.EXE

* NETSTAT.EXE

* NISSERV.EXE

* NISUM.EXE

* NMAIN.EXE

* NORTON_INTERNET_SECU_3.0_407.EXE

* NPF40_TW_98_NT_ME_2K.EXE

* NPFMESSENGER.EXE

* NPROTECT.EXE

* NSCHED32.EXE

* NTVDM.EXE

* NUPGRADE.EXE

* NVARCH16.EXE

* NWINST4.EXE

* NWTOOL16.EXE

* OSTRONET.EXE

* OUTPOST.EXE

* OUTPOSTINSTALL.EXE

* OUTPOSTPROINSTALL.EXE

* PADMIN.EXE

* PANIXK.EXE

* PAVPROXY.EXE

* PCC2002S902.EXE

* PCC2K_76_1436.EXE

* PCCIOMON.EXE

* PCDSETUP.EXE

* PCFWALLICON.EXE

* PCIP10117_0.EXE

* PDSETUP.EXE

* PERISCOPE.EXE

* PERSFW.EXE

* PF2.EXE

* PFWADMIN.EXE

* PINGSCAN.EXE

* PLATIN.EXE

* POPROXY.EXE

* POPSCAN.EXE

* PORTDETECTIVE.EXE

* PPINUPDT.EXE

* PPTBC.EXE

* PPVSTOP.EXE

* PROCEXPLORERV1.0.EXE

* PROPORT.EXE

* PROTECTX.EXE

* PSPF.EXE

* PURGE.EXE

* PVIEW95.EXE

* QCONSOLE.EXE

* QSERVER.EXE

* RAV8WIN32ENG.EXE

* REGEDIT.EXE

* REGEDT32.EXE

* RESCUE.EXE

* RESCUE32.EXE

* RRGUARD.EXE

* RSHELL.EXE

* RTVSCN95.EXE

* RULAUNCH.EXE

* SAFEWEB.EXE

* SBSERV.EXE

* SD.EXE

* SETUP_FLOWPROTECTOR_US.EXE

* SETUPVAMEEVAL.EXE

* SFC.EXE

* SGSSFW32.EXE

* SH.EXE

* SHELLSPYINSTALL.EXE

* SHN.EXE

* SMC.EXE

* SOFI.EXE

* SPF.EXE

* SPHINX.EXE

* SPYXX.EXE

* SS3EDIT.EXE

* ST2.EXE

* SUPFTRL.EXE

* SUPPORTER5.EXE

* SYMPROXYSVC.EXE

* SYSEDIT.EXE

* TASKMON.EXE

* TAUMON.EXE

* TAUSCAN.EXE

* TC.EXE

* TCA.EXE

* TCM.EXE

* TDS2-98.EXE

* TDS2-NT.EXE

* TDS-3.EXE

* TFAK5.EXE

* TGBOB.EXE

* TITANIN.EXE

* TITANINXP.EXE

* TRACERT.EXE

* TRJSCAN.EXE

* TRJSETUP.EXE

* TROJANTRAP3.EXE

* UNDOBOOT.EXE

* UPDATE.EXE

* VBCMSERV.EXE

* VBCONS.EXE

* VBUST.EXE

* VBWIN9X.EXE

* VBWINNTW.EXE

* VCSETUP.EXE

* VFSETUP.EXE

* VIRUSMDPERSONALFIREWALL.EXE

* VNLAN300.EXE

* VNPC3000.EXE

* VPC42.EXE

* VPFW30S.EXE

* VPTRAY.EXE

* VSCENU6.02D30.EXE

* VSECOMR.EXE

* VSHWIN32.EXE

* VSISETUP.EXE

* VSMAIN.EXE

* VSMON.EXE

* VSSTAT.EXE

* VSWIN9XE.EXE

* VSWINNTSE.EXE

* VSWINPERSE.EXE

* W32DSM89.EXE

* W9X.EXE

* WATCHDOG.EXE

* WEBSCANX.EXE

* WGFE95.EXE

* WHOSWATCHINGME.EXE

* WINRECON.EXE

* WNT.EXE

* WRADMIN.EXE

* WRCTRL.EXE

* WSBGATE.EXE

* WYVERNWORKSFIREWALL.EXE

* XPF202EN.EXE

* ZAPRO.EXE

* ZAPSETUP3001.EXE

* ZATUTOR.EXE

* ZAUINST.EXE

* ZONALM2601.EXE

* ZONEALARM.EXE

W32.Beagle.AG@mm建議

賽門鐵克安全響應中心建議所有用户和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。默認情況下，許多操作系統會安裝不必要的輔助服務，如 FTP 服務器、telnet 和 Web 服務器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程序更新即可完成。

* 如果混合型威脅攻擊了一個或多個網絡服務，則在應用補丁程序之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程序，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公佈的安全更新，也要及時應用。

* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件服務器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件，這些文件常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附件。並且只在進行病毒掃描後才執行從互聯網下載的軟件。如果未對某些瀏覽器漏洞應用補丁程序，那麼訪問受感染的網站也會造成病毒感染。

使用殺毒工具殺毒

當然，您也可以按照以下指示自己手動殺毒。

W32.Beagle.AG@mm手動殺毒

以下指導適用於最新和最近的所有 Symantec 防病毒產品（包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品）

1. 禁用系統還原 (Windows Me/XP)。

2. 更新病毒定義。

3. 以安全模式或 VGA 模式重新啓動計算機。

4. 運行完整的系統掃描，並刪除所有檢測為 W32.Beagle.AB@mm 的文件。

5. 刪除添加到註冊表的值。

有關每個步驟的詳細信息，請參閲以下指導。

1. 禁用系統還原 (Windows Me/XP)

如果正在運行 Windows Me 或 Windows XP，建議您暫時關閉系統還原功能。此功能默認情況下是啓用的，一旦計算機中的文件被破壞，Windows Me/XP 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程序在內的外部程序修改系統還原。因此，防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣，系統還原就可能將受感染文件還原到計算機上，即使您已經清除了所有其他位置的受感染文件。

此外，病毒掃描也可能在 System Restore 文件夾中檢測到威脅，即使您已清除該威脅。

有關如何關閉系統還原功能的指導，請參閲 Windows 文檔或下列文章之一：

* 如何禁用或啓用 Windows Me 系統還原

* 如何關閉或打開 Windows XP 系統還原”

注意：當您完全完成殺毒步驟，並確定威脅已清除後，按照上述文檔中的指導重新啓用系統還原。

有關其他信息以及禁用 Windows Me 系統還原功能的其他方法，請參閲 Microsoft 知識庫文章：Antivirus Tools Cannot Clean Infected Files in the _Restore Folder，

2. 更新病毒定義

Symantec 安全響應中心在我們的服務器上發佈任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate，這是獲得病毒定義最簡單的方法：如果未遇重大病毒爆發情況，這些病毒定義會每週在 LiveUpdate 服務器上發佈一次（一般為星期三）。要確定是否可通過 LiveUpdate 獲得用於該威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智能更新程序下載定義：“智能更新程序”病毒定義在美國工作日發佈（週一至週五）。您應當從 Symantec 安全響應中心網站下載定義並手動安裝它們。要確定是否可通過智能更新程序獲得用於該威脅的定義，請參考病毒定義（智能更新程序）。

獲得智能更新程序病毒定義。有關詳細指導，請閲讀文檔：如何使用智能更新程序更新病毒定義文件。

3. 以安全模式或 VGA 模式重新啓動計算機

關閉計算機，關掉電源。至少等候 30 秒，然後以安全模式或 VGA 模式重新啓動計算機。

* 對於 Windows 95、98、Me、2000 或 XP 用户，請以安全模式重新啓動計算機。有關指導，請參閲文檔：如何以安全模式啓動計算機。

* 對於 Windows NT 4 用户，請以 VGA 模式重新啓動計算機。

4. 掃描和刪除受感染文件

1. 啓動 Symantec 防病毒程序，並確保已將其配置為掃描所有文件。

* 對於 Norton AntiVirus 單機版產品：請參閲文檔：如何配置 Norton AntiVirus 以掃描所有文件。

* 對於 Symantec AntiVirus 企業版產品：請參閲文檔：如何確定 Symantec 企業版防病毒產品是否設置為掃描所有文件。

2. 運行完整的系統掃描。

3. 如果有任何文件被檢測為 W32.Beagle.AB@mm，則單擊“刪除”。

4. 導航到%System%文件夾並刪除sysxp.exeopenopenopen。

注意：如果您的 Symantec 防病毒產品報告無法刪除受感染文件，Windows 可能在使用該文件。要解決該問題，請在安全模式下運行掃描。有關指導，請參閲文檔：如何以安全模式啓動計算機。以安全模式重啓後，在此運行掃描。

（在文件被刪除後，可以不離開安全模式並繼續執行部分4。完成後，在將以正常模式重新啓動計算機。）

5. 從註冊表刪除值

警告：Symantec 強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或文件損壞。應只修改指定的鍵。有關指導，請參閲文檔：如何備份 Windows 註冊表。

1. 單擊“開始”“運行”。

2. 鍵入 regedit

然後單擊“確定”。

3. 導航至鍵：

4. 在右窗格中，刪除值：