國家計算機病毒應急處理中心通過對互聯網的監測,發現了“貝革熱”病毒的新變種Worm_Bagle.Be。 據應急中心分析發現,這種該病毒變種比早期的變種更具有危害性,它通過電子郵件進行傳播,並使用自帶的SMTP引擎發送電子郵件。該變種會通過編輯系統中的HOSTS文件來阻止計算機用戶訪問一些反病毒網站,5自學網,還會使受感染的機器從指定的資源服務器上主動下載並執行病毒文件。 蠕蟲詳細信息如下: 病毒名稱: Worm_Bagle.Be 病毒類型: 蠕蟲 感染系統:Windows95/98/Me/NT/2000/XP 病毒長度:34,304Bytes 病毒特征: 病毒通過電子郵件進行傳播,並使用自帶的SMTP引擎發送電子郵件。運行後,在系統目錄下生成自身的拷貝,修改注冊表鍵值。病毒同時具有後門能力。 1、生成病毒文件 病毒運行後,自學教程,在%System%文件夾下生成名為WIWSHOST.EXE和其自身拷貝WINSHOST.EXE。其中文件WIWSHOST.EXE會自身釋放文件WINSHOST.EXE到系統目錄下,並將WINSHOST.EXE插入到EXPLORER.EXE進程中。(其中,%System%在Windows95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)。 2、修改注冊表項 病毒添加注冊表項,使得自身能夠在系統啟動時自動運行,在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run添加winshost.exe =“%System%\winshost.exe”和在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加winshost.exe =“%System%\winshost.exe”(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)。
3、通過電子郵件進行傳播 病毒通過電子郵件進行傳播,病毒郵件附件是a.zip壓縮文件,計算機用戶點擊就會感染計算機系統。 4、中止應用進程 該病毒會在被感染的系統中中止一些反病毒軟件和安全的應用進程。
5、刪除注冊表鍵值 該病毒會釋放文件WIWSHOST.EXE刪除注冊表項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的一些鍵值。該病毒還會刪除注冊表項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的鍵值Zone Labs Client。 6、後門程序 該病毒具有後門功能,打開並監聽tcp端口80,允許惡意用戶用特定密碼登錄並控制受感染的系統。該病毒還會通過編輯系統中的HOSTS文件來阻止計算機用戶訪問一些反病毒網站,還會使受感染的機器從指定的資源服務器上主動下載並執行病毒文件。