W32.Beagle.J@mm:歷史,注意,防護,廣度,損壞,分發,運行時執行操作

W32.Beagle.J@mm是發現於2004年的蠕蟲病毒，它是一種大量傳送郵件並在 TCP-2745 連線埠上後門的蠕蟲。使用自身的 SMTP 引擎透過電子郵件傳播。它還會傳送後門程式所監聽的連線埠號以及 IP 地址給攻擊者。將自身安裝到名稱含有 shar 的數據夾中，以試圖透過檔案共享網路散布出去，例如 Kazaa 及 iMesh，受感染的電子郵件具有下列特徵：寄件者：偽裝成似乎來自收件者網域的下列其中一個地址： management， administration，staff，noreply， support，附屬檔案：隨機命名的 .exe 檔（包含在 .zip 檔中）或 .pif 檔。此 zip 檔案設有密碼保護。

基本介紹

外文名：W32.Beagle.J@mm
發現： 2004 年 3 月 2 日
類型：Worm
感染長度： 12,288 bytes

歷史,注意,防護,廣度,損壞,分發,運行時執行操作,建議,手動防毒,禁用系統還原（Windows Me/XP）,更新病毒定義,從註冊表中刪除值,掃描和刪除受感染檔案,

歷史

發現： 2004 年 3 月 2 日

更新： 2007 年 2 月 13 日 12:21:42 PM

別名： W32/Bagle.j@MM [McAfee], WORM_BAGLE.J [Trend], Win32.Bagle.J [Computer Associ, W32/Bagle-J [Sophos]

類型: Worm

感染長度： 12,288 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

注意

* 於 3/1/04 發行的 LiveUpdate 病毒定義檔案會將此威脅偵測為 W32.Beagle.A@mm。

* 目前沒有針對此威脅的靜態 MD5 可用。

* 賽門鐵克安全機制應變中心已開發出可清除 W32.Beagle.J@mm 感染的防毒工具。

防護

* 病毒定義（每周 LiveUpdate™） 2004 年 3 月 2 日

* 病毒定義（智慧型更新程式） 2004 年 3 月 2 日

威脅評估

廣度

* 廣度級別： Medium

* 感染數量： 50 - 999

* 站點數量： More than 10

* 地理位置分布： Low

* 威脅抑制： Easy

* 清除： Moderate

損壞

* 損壞級別： Medium

* 大規模傳送電子郵件： Emails all the contacts it can find inside the files with the extensions: .wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi

* 泄露機密信息： Allows unauthorized remote access.

* 危及安全設定： Terminates processes related to some security programs.

分發

* 分發級別： High

* 電子郵件的主題： Varies

* 附屬檔案名稱： Randomly named .exe file inside a.zip file. The embedded .exe file is password-protected with a rand

* 附屬檔案大小： 13 KB

* 連線埠： TCP 2745

運行時執行操作

1. 將自身複製到 %System%\irun4.exe。

注意：%System% 代表變數。蠕蟲會找到 System 數據夾並將自己複製過去。預設的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

2. 建立檔案 %System%\irun4.exe，這是一個使用密碼保護的 .zip 檔。此密碼是隨機指派的，而且會包含在郵件信息的文字部分中。

3. 新增下列值：

"srate.exe"="%System%\irun4.exe"

加入註冊表鍵：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此，當您啟動 Windows 時，W32.Beagle.J@mm 蠕蟲就會執行。

4. 在 TCP - 2745 上開啟後門。

當攻擊者傳送特殊格式的數據信息至該通訊連線埠時，蠕蟲就會允許任意檔案下載至 %Windir% 數據夾。這個檔案會儲存成 %Windir%\iuplda<x>.exe，其中 <x> 是隨機字元串的字元。

5. 透過 TCP 80 連線埠傳送 HTTP GET 請求到下列的網站上：

* 　該 GET 請求會傳送受感染計算機正在監聽的連線埠號以及 IP 地址。

6. 嘗試結束下列程式，而這些程式是負責更新各種防毒程式的簽章：

* Atupdater.exe

* Aupdate.exe

* Autodown.exe

* Autotrace.exe

* Autoupdate.exe

* Avltmain.exe

* Avpupd.exe

* Avwupd32.exe

* Avxquar.exe

* Cfiaudit.exe

* Drwebupw.exe

* Icssuppnt.exe

* Icsupp95.exe

* Luall.exe

* Mcupdate.exe

* Nupgrade.exe

* Outpost.exe

* Update.exe

7. 掃描本機磁碟上含有下列擴展名的檔案：

* .wab

* .txt

* .msg

* .htm

* .xml

* .dbx

* .mdx

* .eml

* .nch

* .mmf

* .ods

* .cfg

* .asp

* .php

* .pl

* .adb

* .tbb

* .sht

* .uin

* .cgi

並收集找到的所有電子郵件地址。

8. W32.Beagle.J@mm 會藉由將自身安裝到名稱含有 shar 的數據夾中，以便散布至檔案共享網路，例如 Kazaa 及 iMesh。蠕蟲會使用來自下列清單的檔案名稱稱：

* ACDSee 9.exe

* Adobe Photoshop 9 full.exe

* Ahead Nero 7.exe

* Matrix 3 Revolution English Subtitles.exe

* Microsoft Office 2003 Crack, Working!.exe

* Microsoft Office XP working Crack, Keygen.exe

* Microsoft Windows XP, WinXP Crack, working Keygen.exe

* Opera 8 New!.exe

* Porno pics arhive, xxx.exe

* Porno Screensaver.scr

* Porno, sex, oral, anal cool, awesome!!.exe

* Serials.txt.exe

* WinAmp 5 Pro Keygen Crack Update.exe

* WinAmp 6 New!.exe

* Windown Longhorn Beta Leak.exe

* Windows Sourcecode update.doc.exe

* XXX hardcore images.exe

9. 使用自身的 SMTP 引擎將自己傳送至找到的電子郵件地址。此蠕蟲含有自己的 MIME 編碼例程，能在記憶體中撰寫電子郵件。

受感染的電子郵件具有下列特徵：

寄件者：(可能是以下其中之一)

* management@<recipient domain>

* administration@<recipient domain>

* staff@<recipient domain>

* noreply@<recipient domain>

* support@<recipient domain>

主旨：(以下其中之一)

* E-mail account disabling warning.

* E-mail account security warning.

* Email account utilization warning.

* Important notify about your e-mail account.

* Notify about using the e-mail account.

* Notify about your e-mail account utilization.

* Warning about your e-mail account.

內文：(以下其中一行)

* Dear user of <domain>,

* Dear user of <domain> gateway e-mail server,

* Dear user of e-mail server "<domain>",

* Hello user of <domain> e-mail server,

* Dear user of "<domain>" mailing system,

* Dear user, the management of <domain> mailing system wants to let you know that,

隨後的段落會是其中之一：

* Your e-mail account has been temporary disabled because of unauthorized access.

* Our main mailing server will be temporary unavaible for next two days,

to continue receiving mail in these days you have to configure our free

auto-forwarding service.

* Your e-mail account will be disabled because of improper using in next

three days, if you are still wishing to use it, please, resign your

account information.

* We warn you about some attacks on your e-mail account. Your computer may

contain viruses, in order to keep your computer and e-mail account safe,

please, follow the instructions.

* Our antivirus software has detected a large ammount of viruses outgoing

from your email account, you may use our free anti-virus tool to clean up

your computer software.

* Some of our clients complained about the spam (negative e-mail content)

outgoing from your e-mail account. Probably, you have been infected by

a proxy-relay trojan server. In order to keep your computer safe,

follow the instructions.

隨後的文字會是其中之一：

* For more information see the attached file.

* Further details can be obtained from attached file.

* Advanced details can be found in attached file.

* For details see the attach.

* For details see the attached file.

* For further details see the attach.

* Please, read the attach for further details.

* Pay attention on attached file.

隨後：

* The <網域> team http://www.<網域>

隨後的文字會是其中之一:

* The Management,

* Sincerely,

* Best wishes,

* Have a good day,

* Cheers,

* Kind regards,

如果附屬檔案是一個 .zip 檔案,隨後的內文會是下面的文字之一:

* For security reasons attached file is password protected. The password is "<password>".

* For security purposes the attached file is password protected. Password is "<password>".

* Attached file protected with the password for security reasons. Password is <password>.

* In order to read the attach you have to use the following password: <password>.

注意：

o <網域> 是電子郵件地址的網域名稱部分。

o <密碼> 是蠕蟲用來加密附加 .zip 檔案的 5 位隨機數字。

附屬檔案： <以下其中一個名稱>.zip 或 .pif：

o Attach

o Information

o Readme

o Document

o Info

o TextDocument

o TextFile

o MoreInfo

o Message

此 .zip 檔含有一個隨機命名的 .exe 檔案，並使用上述的密碼進行密碼保護。

10. 蠕蟲不會將電子郵件信息傳送給含有下列字元串的任何電子郵件地址：

*　* @microsoft

* @avp.

* noreply

* local

* root@

* postmaster@

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用防毒工具防毒

賽門鐵克安全回響中心已經創建了用來殺除 W32.Beagle.J@mm 的防毒工具。這是消除此威脅的最簡便方法。

當然，您也可以按照以下指示自己手動防毒。

手動防毒

以下指導適用於所有當前和最新的賽門鐵克防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 禁用系統還原 (Windows Me/XP)。

2. 更新病毒定義。

3. 撤消蠕蟲對註冊表所做的更改並重新啟動計算機

4. 運行完整的系統掃描，並刪除所有檢測為 W32.Beagle.J@mm 的檔案。

有關每個步驟的詳細信息，請閱讀以下指導。

禁用系統還原（Windows Me/XP）

如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

* 如何禁用或啟用 Windows XP 系統還原

* 如何禁用或啟用 Windows Me 系統還原

注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設定。

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。

更新病毒定義

賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

從註冊表中刪除值

注意：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示，請閱讀「如何備份 Windows 註冊表」檔案。

1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）

2. 鍵入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

3. 導航至以下鍵：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除值：

"srate.exe"="%System%\irun4.exe"

5. 退出註冊表編輯器。

6. 重新啟動計算機。

掃描和刪除受感染檔案

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果檢測到任何檔案被 W32.Beagle.J@mm 感染，請單擊“刪除”。

描述者： Yuhui Huang

W32.Beagle.J@mm