W32.Beagle.AG@mm
W32.Beagle.AG@mm |
| 发现时间: 2004.07.19 |
| 上次更新时间: 2004.07.19 |
|
|
W32.Beagle.AG@mm 是群发邮件蠕虫,它使用自己的 SMTP 引擎通过电子邮件传播并在 TCP 端口 1080 上打开后门。该电子邮件的主题和文件附件变化多端。 附件会使用 .com、.cpl、.exe、.hta、.scr、.vbs 或 .zip 文件扩展名。
该蠕虫使用 PeX 打包。
赛门铁克安全响应中心已经创建了用来杀除 W32.Beagle.AG@mm 的工具。单击此处可获取该工具。
| <!-- a.k.a. -->也称为: | WORM_BAGLE.AH [Trend], W32/Bagle.ai@MM [McAfee], W32/Bagle-AI [Sophos], Win32.Bagle.AI [Computer Associates] |
| <!-- variants --> | |
| <!-- type -->··: | Worm |
| <!-- infection length -->····: | varies |
| <!-- (software) name --> | |
| <!-- version --> | |
| <!-- publisher --> | |
| <!-- systems affected -->······: | Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP |
| <!-- systems not affected -->·······: | DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x |
| <!-- CVE References --> | |
| <!-- removal procedure --> | |
| <!-- potential damage --> |
<!-- BEGIN PROTECTION/DETECTION BOX -->
|
| <!-- wild header and start list --> | <!-- BEGIN THREAT METRICS BOX -->
|
-
<!-- damage_trigger -->
- 有效载荷触发器: n/a <!-- damage_payload -->
- ····: n/a
-
<!-- damage_payload_emailing -->
- 大量电子邮件发送: Sends email to the addresses collected from an infected computer. <!-- damage_payload_delete_files -->
- 删除文件: n/a <!-- damage_payload_modify_files -->
- 修改文件: n/a <!-- damage_payload_degrade -->
- 降低性能: Mass-mailing may clog mail servers or degrade network performance. <!-- damage_payload_instability -->
- 造成系统不稳定: n/a <!-- damage_payload_confidential -->
- 发布保密信息: n/a <!-- damage_payload_security -->
- ······: Terminates processes associated with various security-related programs. Allows unauthorized remote access to a compromised host. <!-- end list -->
-
<!-- distribution_email_subject -->
- 电子邮件主题: Varies <!-- distribution_attachment_name -->
- 附件名称: Varies with a .com, .cpl, .exe, .scr, or .zip file extension. <!-- distribution_attachment_size -->
- 附件大小: Varies <!-- distribution_attachment_stamp -->
- 附件的时戳: n/a <!-- distribution_ports -->
- 端口: n/a <!-- distribution_shared_drive -->
- 共享驱动器: n/a <!-- distribution_target -->
- 感染目标: n/a <!-- end list -->
域
W32.Beagle.AG@mm 试图联系以下各域:
- abtacha.wirebrain.de
- begros.de
- deepiceman.de
- dfk-crew.clanintern.de
- die-cliquee.de
- edwinf.surfplanet.de
- knecht.cs.uni-magdeburg.de
- login.rz.fh-augsburg.de
- niematec.de
- obechmann.de
- pe-data.de
- people-ftp.freenet.de
- people-ftp.freenet.de
- people-ftp.freenet.de
- ronnyackermann.de
- sgi1.rz.rwth-aachen.de
- symbit.de
- tripod.de
- web154.essen082.server4free.de
- web216.berlin240.server4free.de
- www.aachen.de
- www.abacho.de
- www.anwaltverein.de/
- www.aquarius.geomar.de
- www.astronomie.de
- www.atlantis-show.de
- www.atlas-hannover.de
- www.awi-bremerhaven.de
- www.baden-wuerttemberg.de
- www.bayerninfo.de
- www.beck.de
- www.berlinonline.de
- www.bessy.de
- www.bitburger.de
- www.blk-bonn.de/
- www.bmgs.bund.de
- www.brigitte.de
- www.bundesliga.de
- www.calistyler.de
- www.citypopulation.de
- www.dar-fantasy.de
- www.dasding.de
- www.degruyter.de
- www.destatis.de
- www.dortmund.de
- www.duden.de
- www.dwelle.de
- www.empire-show.de
- www.eumetsat.de
- www.europarl.de
- www.expo2000.de
- www.fernuni-hagen.de
- www.finanznachrichten.de
- www.firstgate.de
- www.frankfurt-airport.de
- www.frankfurter-buchmesse.de
- www.freiburg.de
- www.gantke-net.de
- www.gelbeseiten.de
- www.gtz.de
- www.gutenberg2000.de
- www.hannobunz.de
- www.heidelberg.de
- www.helmholtz.de
- www.hosteurope.de
- www.h-p-i.de
- www.immobilienscout24.de
- www.jugendherberge.de
- www.kabel1.de
- www.kalenderblatt.de
- www.karlsruhe.de
- www.king-alp.de
- www.king-alp.de
- www.klug-suchen.de
- www.kompetenznetze.de
- www.kompetenzz.de
- www.krebsinformation.de
- www.lords-of-havoc.de
- www.lufthansa.de
- www.lupo18t.de
- www.mathguide.de
- www.math-net.de
- www.mdirk.de
- www.medicine-worldwide.de
- www.meinestadt.de
- www.messe-duesseldorf.de
- www.messe-muenchen.de
- www.mohr.de
- www.monster.de
- www.munich-airport.de
- www.mupad.de
- www.murczak.de
- www.murczak.de
- www.niedersachsen.de
- www.nuernbergmesse.de
- www.onlinereviewguide.com
- www.pcwelt.de
- www.photokina.de
- www.rapz-records.de
- www.regtp.de
- www.renewables2004.de
- www.ruhr-uni-bochum.de
- www.saarbruecken.de
- www.saarland.de
- www.schaubuehne.de
- www.schulen-ans-netz.de
- www.slowfood.de
- www.staedtetag.de
- www.stellenmarkt.de
- www.stepstone.de
- www.stifterverband.de
- www.stricker-doerpen.de
- www.studentenwerke.de
- www.stufenlos-regelbar.de
- www.stuttgart.de
- www.stuttgarter-zeitung.de
- www.superstar-nord.de
- www.sysserver1.de
- www.szakos.de
- www.szakos.de
- www.testdaf.de
- www.tu-darmstadt.de
- www.tu-dresden.de
- www.tu-muenchen.de
- www.umweltbundesamt.de
- www.uni-bremen.de
- www.unibw-muenchen.de
- www.uni-duesseldorf.de
- www.uni-duisburg-essen.de
- www.uni-frankfurt.de
- www.uni-jena.de
- www.uni-mannheim.de
- www.uni-marburg.de
- www.uni-osnabrueck.de
- www.uni-tuebingen.de
- www.urlaubstage.de
- www.vwschubert.de
- www.webhits.de
- www.wiley-vch.de
- www.wissenschaft-online.de
- zeus05.de
- zille.cs.uni-magdeburg.de
进程
W32.Beagle.AG@mm 试图终止具有以下名称的进程:
- AGENTSVR.EXE
- ANTI-TROJAN.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- APVXDWIN.EXE
- ATCON.EXE
- ATGUARD.EXE
- ATRO55EN.EXE
- ATUPDATER.EXE
- ATWATCH.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVCONSOL.EXE
- AVGSERV9.EXE
- AVLTMAIN.EXE
- AVprotect9x.exe
- AVPUPD.EXE
- AVSYNMGR.EXE
- AVWUPD32.EXE
- AVXQUAR.EXE
- BD_PROFESSIONAL.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BS120.EXE
- CDP.EXE
- CFGWIZ.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFIAUDIT.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET.EXE
- CFINET32.EXE
- CFINET32.EXE
- CLEAN.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CLEANPC.EXE
- CMGRDIAN.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CMON016.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- DEFWATCH.EXE
- DEPUTY.EXE
- DPF.EXE
- DPFSETUP.EXE
- DRWATSON.EXE
- DRWEBUPW.EXE
- ENT.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- EXANTIVIRUS-CNET.EXE
- FAST.EXE
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- FP-WIN_TRIAL.EXE
- FRW.EXE
- FSAV.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- GBMENU.EXE
- GBPOLL.EXE
- GUARD.EXE
- GUARDDOG.EXE
- HACKTRACERSETUP.EXE
- HTLOG.EXE
- HWPE.EXE
- IAMAPP.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFW2000.EXE
- IPARMOR.EXE
- IRIS.EXE
- JAMMER.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KILLPROCESSSETUP161.EXE
- LDPRO.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LSETUP.EXE
- LUALL.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- MCAGENT.EXE
- MCUPDATE.EXE
- MCUPDATE.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGUI.EXE
- MINILOG.EXE
- MOOLIVE.EXE
- MRFLUX.EXE
- MSCONFIG.EXE
- MSINFO32.EXE
- MSSMMC32.EXE
- MU0311AD.EXE
- NAV80TRY.EXE
- NAVAPW32.EXE
- NAVDX.EXE
- NAVSTUB.EXE
- NAVW32.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEOMONITOR.EXE
- NETARMOR.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NPROTECT.EXE
- NSCHED32.EXE
- NTVDM.EXE
- NUPGRADE.EXE
- NVARCH16.EXE
- NWINST4.EXE
- NWTOOL16.EXE
- OSTRONET.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PAVPROXY.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- PCCIOMON.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PF2.EXE
- PFWADMIN.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PROCEXPLORERV1.0.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAV8WIN32ENG.EXE
- REGEDIT.EXE
- REGEDT32.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- SAFEWEB.EXE
- SBSERV.EXE
- SD.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SETUPVAMEEVAL.EXE
- SFC.EXE
- SGSSFW32.EXE
- SH.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SMC.EXE
- SOFI.EXE
- SPF.EXE
- SPHINX.EXE
- SPYXX.EXE
- SS3EDIT.EXE
- ST2.EXE
- SUPFTRL.EXE
- SUPPORTER5.EXE
- SYMPROXYSVC.EXE
- SYSEDIT.EXE
- TASKMON.EXE
- TAUMON.EXE
- TAUSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TDS-3.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- UNDOBOOT.EXE
- UPDATE.EXE
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VFSETUP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXE
- VNPC3000.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCENU6.02D30.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBSCANX.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- WHOSWATCHINGME.EXE
- WINRECON.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZAUINST.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
<!-- recommendations -->
<!-- BEGIN GATEWAY BOX --><!-- END GATEWAY BOX --><!-- BEGIN SERVER BOX --><!-- END SERVER BOX --><!-- BEGIN CLIENT BOX --><!-- END CLIENT BOX -->
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
- 关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
- 如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
- 实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
- 强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
- 将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
- 迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
- 教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用杀毒工具杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Beagle.AG@mm 的工具。这是消除此威胁的最简便方法。单击 此处可获取该工具。
当然,您也可以按照以下指示自己手动杀毒。
手动杀毒
以下指导适用于最新和最近的所有 Symantec 防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)
- 禁用系统还原 (Windows Me/XP)。
- 更新病毒定义。
- 以安全模式或 VGA 模式重新启动计算机。
- 运行完整的系统扫描,并删除所有检测为 W32.Beagle.AB@mm 的文件。
- 删除添加到注册表的值。
有关每个步骤的详细信息,请参阅以下指导。
1. 禁用系统还原 (Windows Me/XP)
如果正在运行 Windows Me 或 Windows XP,建议您暂时关闭系统还原功能。 此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows Me/XP 可使用该功能将其还原。 如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。 因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。 这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在 System Restore 文件夹中检测到威胁,即使您已清除该威胁。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
注意:当您完全完成杀毒步骤,并确定威胁已清除后,按照上述文档中的指导重新启用系统还原。
有关其他信息以及禁用 Windows Me 系统还原功能的其他方法,请参阅 Microsoft 知识库文章: Antivirus Tools Cannot Clean Infected Files in the _Restore Folder,文章 ID:Q263455。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。 可以通过两种方式获得最新的病毒定义:
- 运行 LiveUpdate,这是获得病毒定义最简单的方法:如果未遇重大病毒爆发情况,这些病毒定义会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。 要确定是否可通过 LiveUpdate 获得用于该威胁的定义,请参考病毒定义 (LiveUpdate)。
- 使用智能更新程序下载定义:“智能更新程序”病毒定义在美国工作日发布(周一至周五)。 您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。 要确定是否可通过智能更新程序获得用于该威胁的定义,请参考病毒定义(智能更新程序)。
可以从 http://securityresponse.symantec.com/avcenter/defs.download.html 获得智能更新程序病毒定义。有关详细指导,请阅读文档: 如何使用智能更新程序更新病毒定义文件。
3. 以安全模式或 VGA 模式重新启动计算机
关闭计算机,关掉电源。 至少等候 30 秒,然后以安全模式或 VGA 模式重新启动计算机。
- 对于 Windows 95、98、Me、2000 或 XP 用户,请以安全模式重新启动计算机。 有关指导,请参阅文档:如何以安全模式启动计算机。
- 对于 Windows NT 4 用户,请以 VGA 模式重新启动计算机。
4. 扫描和删除受感染文件
- 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
- 对于 Norton AntiVirus 单机版产品:请参阅文档:如何配置 Norton AntiVirus 以扫描所有文件。
- 对于 Symantec AntiVirus 企业版产品:请参阅文档:如何确定 Symantec 企业版防病毒产品是否设置为扫描所有文件。
- 运行完整的系统扫描。
- 如果有任何文件被检测为 W32.Beagle.AB@mm,则单击“删除”。
- 导航到%System%文件夹并删除sysxp.exeopenopenopen。
注意:如果您的 Symantec 防病毒产品报告无法删除受感染文件,Windows 可能在使用该文件。 要解决该问题,请在安全模式下运行扫描。 有关指导,请参阅文档:如何以安全模式启动计算机。以安全模式重启后,在此运行扫描。
(在文件被删除后,可以不离开安全模式并继续执行部分4。完成后,在将以正常模式重新启动计算机。)
警告:Symantec 强烈建议在进行任何更改前先备份注册表。 错误地更改注册表可能导致数据永久丢失或文件损坏。 应只修改指定的键。 有关指导,请参阅文档: 如何备份 Windows 注册表。
- 单击“开始”>“运行”。
- 键入 regedit
然后单击“确定”。 - 导航至键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 在右窗格中,删除值:
"key" = "%System%\winxp.exe"
- 退出注册表编辑器。