首页 > > 服务器技术 > 安全防护 >

W32.Beagle.BP

2008-02-23 08:35:34来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

病毒名称: W32.Beagle.BP 类别: 蠕虫病毒 病毒资料: 该病毒感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个复合型病毒,自带SMTP引擎传播,破坏反病毒软件,释放木马病毒Trojan.Tooso,打开TCP端口80作为后门;当收到、打开此病毒时,有以下危害:
A 复制自身到系统目录svc.exe
B添加注册表值"erthgdr" = "%System%\svc.exe"到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
C 创建以下信号量,可以阻止部分Netsky病毒的执行
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX- S - k - y - N - e - t -XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____->>>U<<<<--____
_-oO]xX-S-k-y-N-e-t-Xx[Oo-_
D删除组册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"My AV"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Zone Labs Client Ex"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"9XHtProtect"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Antivirus "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Special Firewall Service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Tiny AV"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"ICQNet"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"HtProtect"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"NetDy"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Jammer2nd"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"FirewallSvr"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"MsInfo"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"SysMonXP"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"EasyAV"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"PandaAVEngine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"Norton Antivirus AV"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"KASPerskyAVEng"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"SkynetsRevenge"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\"ICQ Net"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"My AV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Zone Labs Client Ex"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"9XHtProtect"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Antivirus "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Special Firewall Service"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"service"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Tiny AV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"ICQNet"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"HtProtect"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"NetDy"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Jammer2nd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"FirewallSvr"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"MsInfo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"SysMonXP"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"EasyAV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"PandaAVEngine"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"Norton Antivirus AV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"KasperskyAVEng"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"SkynetsRevenge"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"ICQ Net"
E 连接到 smtp.earthlink.net端口 25验证网络连接
F 在2008年4月12号,删除以下注册表项:
HKEY_CURRENT_USER\Software\ert
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"erthgdr"
G 从以下地址下载文件保存为系统目录的re_file.exe并执行:
·loca2/s1.PHP
·loca2/s3.php
H打开TCP端口80作为后门,进行代理服务
I 从主机nudp.com 下载eml.exe ,保存到 Windows目录为eml.exe

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:Trojan.Gamqowi

下一篇:Downloader.Newest

相关文章

IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计: Java技术 C/C++ VB delphi

网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条
最新资讯
热门关注
热门标签