W32.Beagle.U@mm

別名： Bagle.U [F-Secure], WORM_BAGLE.U [Trend], W32/Bagle-U [Sophos], W32/Bagle.u@MM [McAfee]

感染長度： 8,208 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP

* 具有序列號 28833 或更新編號的快速發布定義將把該威脅檢測為 W32.Beagle.U@mm。

* 這些定義之前的病毒定義將該威脅檢測為 W32.Beagle.gen。

* Symantec 安全回響中心開發了一種防毒工具，可用來清除 W32.Beagle.U@mm 感染。

* 病毒定義（每周 LiveUpdate™） 2004 年 3 月 26 日

* 病毒定義（智慧型更新程式） 2004 年 3 月 26 日

威脅評估

* 廣度級別： Medium

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： Medium

* 威脅抑制： Easy

* 清除： Moderate

* 損壞級別： Medium

* 大規模傳送電子郵件： Sends itself to email addresses found in the local file system.

* 危及安全設定： Opens backdoor on TCP port 4751.

分發

* 分發級別： High

* 電子郵件的主題： none

* 附屬檔案名稱： Random string of letters with a .exe extension (for example, jwopbh.exe).

* 附屬檔案大小： 8,208 bytes

* 連線埠： Opens a backdoor on TCP port 4751.

1. 如果系統時鐘的年度為 2005 或之後，則蠕蟲存在。

2. 將自身複製為 %System%\gigabit.exe。

注意：%System% 是一個變數。蠕蟲會找到 System 資料夾，並將自身複製到其中。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

3. 將值：

"gigabit.exe"="%System%\gigabit.exe"

添加到註冊表鍵：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

這樣，此蠕蟲便可在 Windows啟動時運行。

4. 創建註冊表鍵：

HKEY_CURRENT_USER\SOFTWARE\Windows2004.

5. 在 TCP 連線埠 4751 上打開後門，允許下載和執行檔案。

6. 如果受感染的計算機上存在Microsoft 紅心大戰遊戲的的執行檔 Mshearts.exe，則嘗試執行該檔案。

7. 嘗試通知受感染計算機的預定義 Web 伺服器。

注意：如果系統時鐘的年度為 2005 或之後，在該功能不起作用。

8. 搜尋本地磁碟驅動器，在具有以下擴展名的檔案中查找電子郵件地址：

* .wab

* .txt

* .msg

* .htm

* .shtm

* .stm

* .xml

* .dbx

* .mbx

* .mdx

* .eml

* .nch

* .mmf

* .ods

* .cfg

* .asp

* .php

* .pl

* .wsh

* .adb

* .tbb

* .sht

* .xls

* .oft

* .uin

* .cgi

* .mht

* .dhtm

* .jsp

9. 向其找到的地址傳送電子郵件訊息。 電子郵件的“主題”和“正文”為空白，附屬檔案是具有隨機檔案名稱的蠕蟲副本。 附屬檔案名稱包括隨機字母字元串和 .exe 檔案擴展名（如 jwopbh.exe）。

10. 避免向包含以下字元串的地址傳送電子郵件訊息：

* @avp

* @microsoft

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Beagle@mm 防毒工具進行移除

「賽門鐵克安全機制應變中心」已經開發出一個防毒工具，可移除 W32.Beagle.U@mm 的感染。請先使用此防毒工具，因為它是移除這類威脅最簡易的方法。

如果您使用的是 Windows Me 或 Windows XP，我們建議您暫時關閉「系統還原」。Windows Me/XP 使用這個預設啟用的功能，來還原您計算機上受損的檔案。如果病毒、蠕蟲或特洛伊木馬感染的計算機，「系統還原」可能會一併將計算機上的病毒、蠕蟲或特洛伊木馬備份起來。

Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此，防毒程式或是工具並無法移除「系統還原」數據夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除，「系統還原」還是很有可能會將受感染的檔案一併還原至計算機中。

同時，病毒可能會偵測到「系統還原」數據夾里的威脅，即使您已移除該威脅亦然。

有關如何關閉「系統還原」的說明，請閱讀您的 Windows 檔案，或下列文章：

* 如何關閉或啟用 Windows Me「系統還原」。

* 如何關閉或啟用 Windows XP「系統還原」。

注意：當您全部完成了移除程式之後，並且確定威脅已經移除，請依循上述檔案中的指示重新啟用「系統還原」。

如需其它信息以及關閉 Windows Me「系統還原」的其它方法，請參閱 Microsoft 知識庫的文章「病毒防護工具無法清除 _Restore 資料夾中受感染的檔案」，文章識別碼 (Article ID)：

賽門鐵克安全機制應變中心在將所有病毒定義檔案公布於伺服器之前已完成品質測試。您可以使用下列兩種方式來取得最新的病毒定義檔案：

* 執行 LiveUpdate 是獲得病毒定義檔案的最簡單方法：這些病毒定義檔案會每星期一次更新到 LiveUpdate 伺服器上 (通常是星期三)，當有疫情發生時則例外。若要決定此威脅的定義檔是否可由 LiveUpdate 取得，請參閱「病毒定義檔案 (LiveUpdate)」。

* 使用 Intelligent Updater 下載定義檔：Intelligent Updater 的病毒定義檔案會在美國的工作日 (星期一到星期五) 公布。您必須由「賽門鐵克安全機制應變中心」網站手動下載及安裝定義檔。若要決定此威脅的定義檔是否可由 Intelligent Updater 取得，請參閱「病毒定義檔案 (Intelligent Updater)」。

智慧型更新程式 (Intelligent Updater)病毒定義檔案，詳細指示說明請參閱「如何使用 Intelligent Updater 來更新病毒定義檔案」檔案。

1. 啟動您的賽門鐵克防毒程式，確定已架構為掃描所有檔案。

* Norton AntiVirus 消費者產品：請閱讀「如何設定 Norton AntiVirus 以掃描所有檔案」文章。

* 賽門鐵克企業版防毒產品：請閱讀「如何確認 Symantec Corporate 防毒產品已設定為掃描所有檔案」文章。

2. 執行完整系統掃描。

3. 如果偵測到任何受 W32.Beagle.U@mm 感染的檔案，請按下「刪除」。

警告：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示，請閱讀「如何備份 Windows 的註冊表」檔案。

1. 按下「開始」，然後按下「執行」。(畫面上便會出現「執行」對話框)。

2. 輸入 regedit

然後按下「確定」。(「註冊表編輯器」會開啟)。

3. 跳到這個鍵：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

4. 刪除右邊窗格中的值：

"gigabit.exe"="%System%\gigabit.exe"

HKEY_CURRENT_USER\SOFTWARE

Windows2004