病毒名称:W32.Beagle.AO@mm
警惕程度:2级
病毒类型:蠕虫类
W32.Beagle.AO@mm 是一种会寄发大量邮件的蠕虫,它会使用自身的
SMTP 引擎透过电子邮件传播。
蠕虫并会在 UDP与TCP 埠号80 上开启后门
传播途径: 邮件
依赖系统: Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows XP
未受影响的系统: DOS, Linux, Macintosh, Novell
Netware, OS/2, UNIX, Windows 3.x
广度:
• 感染数量: 大于 1000
• 站点数量: 大于 10
• 地理分布: 中度
• 威胁遏制: 一般
• 消除威胁能力: 一般
损坏程度
• 有效载荷触发器: n/a
• 有效载荷: n/a
o 大量电子邮件发送: n/a
o 删除文件: n/a
o 修改文件: n/a
o 降低性能: n/a
o 造成系统不稳定: n/a
o 发布保密信息: n/a
o 危及安全设置: n/a
分发
• 电子邮件主题: n/a
• 附件名称: n/a
• 附件大小: n/a
• 附件的时戳: n/a
• 端口: n/a
• 共享驱动器: n/a
• 感染目标: n/a
技术详细说明:
当 W32.Beagle.AO@mm 执行时,它会执行下列动作:
1. 建立档案 %System%\WINdirect.exe.
注意:%System% 代表变量。蠕虫会找到 System
数据夹并将自己复制过去。预设的位置是
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows
NT/2000), or C:\Windows\System32 (Windows XP).
2. 新增下列值:
"win_upd.exe"="%System%\WINdirect.exe"
至注册表键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在启动 Windows 时蠕虫会被执行
3. 建立档案, %System%\_dll.exe.
4. 将%System%\_dll.exe作为主执行绪注入Window类别程序
"Shell_TrayWnd." 如果成功,
此执行绪将在感染程序中持续被执行。
感染程序将执行下列步骤所列动作,而Windows工作管理员相将不会列出执行中的木马程序。
5. 终止下列名称的程序:
• ATUPDATER.EXE ; ATUPDATER.EXE ; AUPDATE.EXE
• AUTODOWN.EXE ; AUTOTRACE.EXE ; AUTOUPDATE.EXE
• AVPUPD.EXE ; AVWUPD32.EXE ; AVXQUAR.EXE
• AVXQUAR.EXE ; CFIAUDIT.EXE ;DRWEBUPW.EXE
• ESCANH95.EXE ; ESCANHNT.EXE ; FIREWALL.EXE
• ICSSUPPNT.EXE ; ICSUPP95.EXE ; LUALL.EXE
• MCUPDATE.EXE ; NUPGRADE.EXE ; NUPGRADE.EXE
• OUTPOST.EXE ; UPDATE.EXE ; sys_xp.exe
• sysxp.exe ; winxp.exe
6. 试图由下列网站下载档案至%Windir%\~.exe,并执行档案
• 134.102.228.45 ; 196.12.49.27 ; 213.188.129.72 ;
64.62.172.118
• abi-2004.org ; advm1.gm.fh-koeln.de ;
alexey.pioneers.com.ru
• alfinternational.ru ; aus-Zeit.com ; binn.ru ;
burn2k.ipupdater.com
• carabi.ru ; catalog.zelnet.ru ;
cavalierland.5u.com ; celine.artics.ru
• change.east.ru ; colleen.ai.net ;
controltechniques.ru ; dev.tikls.net
• diablo.homelinux.com ; dodgetheatre.com ;
dozenten.f1.fhtw-berlin.de
• emnesty.w.interia.pl ; emnezz.e-mania.pl ;
euroviolence.com
• evadia.ru ; fairy.dataforce.net ;
financial.washingtonpost.com
• home.profootball.ru ; host.businessweek.com ;
host.wallstreetcity.com
• host23.ipowerweb.com ; hsr.zhp.org.pl ;
infokom.pl ; kafka.punkt.pl
• kooltokyo.ru ; kypexin.ru ;
lars-s.privat.t-online.de ;lottery.h11.ru
• matzlinger.com ; megion.ru ; mmag.ru ;
molinero-berlin.de ; momentum.ru
• niebo.net ; nominal.kaliningrad.ru ; omegat.ru ;
ourcj.com
• packages.debian.or.jp ; pb195.slupsk.sdi.tpnet.pl
; photo.gornet.ru
• pixel.co.il ; pocono.ru ; polobeer.de ; porno-mania.net
; protek.ru
• przeglad-tygodnik.pl ; przeglad-tygodnik.pl ;
quotes.barchart.com
• r2626r.de ; rausis.latnet.lv ; relay.great.ru ;
republika.pl
• sacred.ru ; sbuilder.ru ; sec.polbox.pl ;
shadkhan.ru ; silesianet.pl
• silesianet.pl ; slavarik.ru ; sovea.de ;
spbbook.ru ; strony.wp.pl
• szm.sk ; tarkosale.net ; tdi-router.opola.pl ;
terramail.pl
• thorpedo.us ; traveldeals.sidestep.com ;
ultimate-best-hgh.0my.net
• vip.pnet.pl ; werel1.web-gratis.net ; www.5100.ru
; www.PlayGround.ru
• www.aannemers-nederland.nl ; www.abcdesign.ru 0 ;
www.airnav.com
• www.aktor.ru ; www.ankil.ru ;
www.antykoncepcja.net ; www.aphel.de
• www.artics.ru ; www.astoria-stuttgart.de ;
www.avant.ru
• www.baltmatours.com ; www.baltnet.ru ;
www.biratnagarmun.org.np
• www.biysk.ru ; www.boglen.com ;
www.bridesinrussia.com
• www.busheron.ru ; www.ccbootcamp.com ;
www.chat4adult.com
• www.chelny.ru ; www.ciachoo.pl ; www.dami.com.pl
; www.ddosers.net
• www.dicto.ru ; www.dilver.ru ; www.dsmedia.ru ;
www.dynex.ru
• www.elemental.ru ; www.elit-line.ru ;
www.epski.gr ; www.forbes.com
• www.free-time.ru ; www.gamma.vyborg.ru ;
www.gantke-net.com ;
• www.gin.ru ; www.glass-master.ru ;
www.glavriba.ru ; www.gradinter.ru
• www.hack-gegen-rechts.com ; www.hbz-nrw.de ;
www.hgr.de
• www.hgrstrailer.com ; www.ifa-guide.co.uk ;www.iluminati.kicks-ass.net
• www.infognt.com ; www.intellect.lvc ;
www.interfoodtd.ru
• www.interrybflot.ru ; www.inversorlatino.com ;
www.jewishgen.org
• www.k2kapital.com ; www.kefaloniaresorts.com ;
www.lamatec.com
• www.landofcash.net ; www.laserbuild.ru ;
www.math.kobe-u.ac.jp
• www.mcschnaeppchen.com ; www.mdmedia.org ;
www.met.pl
• www.metacenter.ru ; www.milm.ru ;
www.myrtoscorp.com
• www.nefkom.net ; www.neostrada.pl ;
www.neprifan.ru
• www.netradar.com ; www.no-abi2003.de ;
www.oldtownradio.com
• www.omnicom.ru ; www.oshweb.com ; www.pakwerk.ru
• www.perfectgirls.net ; www.perfectjewel.com ;
www.peterstar.ru
• www.pgipearls.com ; www.phg.pl ; www.porsa.ru
• www.porta.de ; www.rafani.cz ; www.rastt.ru
• www.republika.pl ; www.republika.pl ;
www.rollenspielzirkel.de
• www.rubikon.pl ; www.rumbgeo.ru ; www.rweb.ru
• www.scli.ru ; www.sdsauto.ru ; www.sensi.com
• www.silesianet.pl ; www.sjgreatdeals.com ;
www.sposob.ru
• www.strefa.pl ; www.tanzen-in-sh.de ;www.taom-clan.de
• www.tayles.com ; www.teatr-estrada.ru ;www.teleline.ru
• www.thepositivesideofsports.com ;www.timelessimages.com
• www.tuhart.net ; www.vconsole.net ;www.vendex.ru
• www.virtmemb.com ; www.vivamedia.ru ;www.vrack.net
• www.wapf.com ; www.webpark.pl ; www.webronet.com
• www.webzdarma.cz ; www.yarcity.ru ;
www.youbuynow.com
• www.zeiss.ru ; www.zelnet.ru ; www.zhp.gdynia.pl
• wynnsjammer.proboards18.com ; yaguark.h10.ru
Note: %Windir%代表变量。蠕虫会找到 System
数据夹并将自己复制过去。预设的位置是
C:\Windows or C:\Winnt.
当档案被执行时,会进行下列动作:
1. 以下列名称建立七个 Mutex,这样可以预防
W32.Netsky@mm 的一些变异体执行:
• MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
• 'D'r'o'p'p'e'd'S'k'y'N'e't'
• _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
• [SkyNet.cz]SystemsMutex
• AdmSkynetJklS003
• ____--->>>>U<<<<--____
• _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
2. 建立下列档案:
• %System%\windll.exe.
• %System%\windll.exeopen, which is a copy of the
worm with randomly appended data.
• %System%\windll.exeopenopen, which is a copy of
the worm with randomly appended data.
• %System%\re_file.exe
注意: 代表变量。蠕虫会找到 System
数据夹并将自己复制过去。预设的位置是
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows
NT/2000), or C:\Windows\System32 (Windows XP).
3. 新增下列值:
"erthgdr"="%System%\windll.exe"
至注册表键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 由注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|
删除所有包含下列字符的值:
• "9XHtProtect"
• "Antivirus"
• "EasyAV"
• "FirewallSvr"
• "HtProtect"
• "ICQ Net"
• "ICQNet"
• "Jammer2nd"
• "KasperskyAVEng"
• "MsInfo"
• "My AV"
• "NetDy"
• "Norton Antivirus AV"
• "PandaAVEngine"
• "SkynetsRevenge"
• "Special Firewall Service"
• "SysMonXP"
• "Tiny AV"
• "Zone Labs Client Ex"
• "service"
5. 试图在任何包含字符「shar」的数据夹中建立本身的副本。档案将会有下列文件名称:
• Microsoft Office 2003 Crack, Working!.exe
• Microsoft Windows XP, WinXP Crack, working
Keygen.exe
• Microsoft Office XP working Crack, Keygen.exe
• Porno, sex, oral, anal cool, awesome!!.exe
• Porno Screensaver.scr
• Serials.txt.exe
• KAV 5.0
• Kaspersky Antivirus 5.0
• Porno pics arhive, xxx.exe
• Windows Sourcecode update.doc.exe
• Ahead Nero 7.exe
• Windown Longhorn Beta Leak.exe
• Opera 8 New!.exe
• XXX hardcore images.exe
• WinAmp 6 New!.exe
• WinAmp 5 Pro Keygen Crack Update.exe
• Adobe Photoshop 9 full.exe
• Matrix 3 Revolution English Subtitles.exe
• ACDSee 9.exe
6.
在有下列扩展名的电子邮件中搜寻电子邮件地址:
• .adb ; .asp ; .cfg ; .cgi ;.dbx
• .dhtm ; .eml ; .htm ; jsp ; .mbx
• .mdx ; .mht ; .mmf ; .msg ; .nch
• .ods ; .oft ; .php ; .pl ; .sht
• .shtm ; .stm ; .tbb ; .txt ; .uin
• .wab ; .wsh ; .xls ; .xml
7. 使用自身的 SMTP
引擎传送电子邮件到任何找到的地址。
受感染的电子邮件可能具有下列特征:
寄件者:<已伪装>
主旨: <无>
内文: New price
附件:(以下其中之一)
• 08_price.zip
• new__price.zip
• new_price.zip
• newprice.zip
• price.zip
• price2.zip
• price_08.zip
• price_new.zip
8.
并虫将不会将本身寄至包含下列字符的电子邮件地址:
• @avp. ; @foo ; @iana ; @messagelab
• @microsoft ; abuse ; admin ; anyone@
• bsd ; bugs@ ; cafee ; certific ; contract@
• feste ; free-av ; f-secur ; gold-certs@ ; google
• help@ ; icrosoft ; info@ ; kasp ; linux
• listserv ; local ; news ; nobody@ ; noone@
• noreply ; ntivi ; panda ; pgp ;postmaster@
;rating@
• root@ ; samples ; sopho ; spam ; support ; unix
• update ; winrar ; winzip
9. 在 UDP与TCP 埠号 80 上开启后门,这使得受感染的计算机成为电子邮件的转信主机。
10. 建立下列注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
