“贝革热”变种病毒WORM_BAGLE.B假装密码寄送,并伪装成录音程序引诱你上当。
警报拉响
“贝革热”变种病毒WORM_BAGLE.B假装密码寄送,并伪装成录音程序引诱你上当
网络安全软件和服务领域的世界领导者----趋势科技(纳斯达克代码:TMIC;东京证交所代码:4704)2月18日全球率先发布针对WORM_BAGLE.B“贝革热”变种病毒的中度风险病毒警报,“贝革热”变种(WORM_BAGLE.B) 为邮件群发蠕虫病毒,这种驻留内存的病毒使用SMTP通过群发电子邮件传播自身拷贝。 这个病毒最初从法国被发现,目前德国,美国,智利,西班牙和瑞典也传出了感染报告。病毒在传播过程中将消耗大量的网络资源,导致网络性能下降,影响用户的正常使用。同时,由于该病毒具有后门特性,被感染的系统中的机密数据可能被窃取。
趋势科技曾于2004年1月18日对其前身WORM_BAGLE.A“贝革热”发布过中度风险病毒警报,与其前身WORM_BAGLE.A相比,这个变种使用了相同的欺骗手法,病毒在执行时会打开录音机程序(WORM_BAGLE.A为打开计算器程序)。
病毒与前身BAGLE.A比较表
这是一个带有常驻内存特性的蠕虫。传播主要通过SMTP(Simple Mail Transfer Protocol)引擎发送带有自身副本的邮件,或者经由端口8866, 这一可能是通过后门的传播形式。(变种 WORM_BAGLE.A 使用的是著名的IRC端口, 6777). 8866 通常在某些防火墙上作为一个打开的端口,可以在'Ultima Online messenger service'找到相关的参考。趋势科技仍然在分析此后门端口可能接受的命令。然而,如果假定其后门的特性与之前的WORM_BAGLE.A类似,则该后门程序从某种意义上说是安全的,仅获取不同计算机的信息,机密数据,下载或执行甚至对自身进行更新。
防治方法
该病毒发送的电子邮件带有如下内容,并从被感染的计算机中收集电子邮件地址,再向这些地址发送带毒邮件。
病毒细节:
发件人:不固定
主题:ID (随机字符)Thanks
信件内容:Yours ID (随机字符)
附件:随机字符.EXE
清除方法
自动清除方法:要从系统中自动删除该病毒,请使用TrendMicro Damage CleanupServices
手工清除方法 :结束病毒程序
该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。
1.打开Windows任务管理器
在 Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下
CTRL+SHIFT+ESC, then click the Processes tab.
2.在运行的程序列表中,找到下面的进程:
AU.EXE
3.选择病毒进程,根据系统的Windows版本,按下结束任务或结束进程按钮。
4.对正在运用进程列表中的其它病毒文件执行相同的操作
5.关闭任务管理器,再重新打开,以确认病毒进程是否结束
6.关闭任务管理器
*注意: 系统上运行的如果是Windows 9x/98/ME, 任务管理器可能不会显示某些进程。你需要其它的进程管理器来结束病毒进程。否则,继续下面操作的同时,注意附加的提示。
手工注册表
从注册表中删除自动运行键
删除注册表中的自动运行键可以防止病毒在每次系统启动的时候运行:
1.打开注册表编辑器。点击 Start>Run, 敲入 Regedit,然后回车
2.在左边的面板,双击下面的项目:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
3.在右边的面板中,找到并删除下面的键:
Au.exe = 揅:\%System%\au.exe?
(注意: %System%是Windows系统文件夹,在Windows 95, 98 和 ME系统上,Windows系统文件夹通常是C:\Windows\System ;在Windows 2000 和 NT系统上,通常是 C:\WINNT\System32 ;在Windows XP系统上,通常是C:\Windows\System32)
注意:如果按照上面操作仍不能结束内存中运行的病毒进程,请重启你的系统。
清除其它被修改的注册表键
1.仍然在注册表编辑器中,在左边的列表中,双击如下项目:
HKEY_CURRENT_USER\Software\Windows2000
2.删除整个项目
3.关闭注册表编辑器
运行趋势科技防病毒产品
使用趋势科技的防病毒产品扫描所有文件并删除检测出的 WORM_BAGLE.B 文件。趋势科技的用户在扫描系统前应该下载最新病毒码。其它的网络用户可以使用趋势科技的免费在线病毒扫描 Housecall。
(来源:趋势科技)
网友评论