首页 >> 病毒库搜索,病毒库介绍,病毒清除建议 >> Windows下的PE病毒。 W32.Beagle.FN@mm
 
· 从零开始
· 海岩小说:五星饭店
· 春联对联大全
· 伤心至死·轮回[作者:鬼
· 盗墓者的经历(80~16
· 妖折[作者:一枚糖果]
· 穿越时空爱上你:梦回大清
· 谈谈心恋恋爱第三部之《记
· 三岔口[作者:周德东]
· 赵赶驴电梯奇遇记
· 寸芒
· 生肖守护神
· 极品家丁
· 女生宿舍[作者:超级市场
· 红颜轮回
· 盗墓者的经历(1~82章
· 五笔字根表
· 小说:惟我独仙
· 周德东小说:门
· 盗墓者的经历(160~结

病毒库搜索:
病毒名称:W32.Beagle.FN@mm
病毒类型:邮件病毒
病毒描述:Windows下的PE病毒。

发现日期: 2006-10-16
详细描述: 根据反病毒研究中心专家介绍,这是一个邮件病毒,长度229,892字节,感染Windows2000,Windows95,Windows98,WindowsMe,WindowsNT,WindowsServer2003,WindowsXP系统。它降低系统安全设置,使用自带的邮件发送引擎传播,下载执行其他病毒文件,当收到、打开此病毒后,有以下现象:

A增加注册表项
"drv_st_key"="%UserProfile%\ApplicationData\hidn\hidn2.exe"到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行
B生成文件
用户目录\ApplicationData\hidn\hidn2.exe-Copyoftheworm
用户目录\ApplicationData\hidn\m_hook.sys-DetectedasTrojan.Rootserv
系统盘\error.gif-Cleanfile
系统盘\temp.zip-Passwordprotectedzipfilecontainingacopyofthewormandacleandllfile
C增加键值"FirstRun"="1"
到HKEY_CURRENT_USER\Software\FirstRuxzx
D创建健值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_M_HOOK
安装木马
E删除注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
F通过连接smtp服务器smtp.mail.ru的TCP端口25,测试网络连接
G连接服务器google.com
217.5.97.137
H连接以下地址,下载邮件列表,保存到windows目录下的文件elist.xpt
http://www.titanmotors.com/images/1/eml.[已删除]
http://veranmaisala.com/1/eml.[已删除]
http://wklight.nazwa.pl/1/eml.[已删除]
http://yongsan24.co.kr/1/eml.[已删除]
http://accesible.cl/1/eml.[已删除]
http://hotelesalba.com/1/eml.[已删除]
http://amdlady.com/1/eml.[已删除]
http://inca.dnetsolution.net/1/eml.[已删除]
http://www.auraura.com/1/eml.[已删除]
http://avataresgratis.com/1/eml.[已删除]
http://beyoglu.com.tr/1/eml.[已删除]
http://brandshock.com/1/eml.[已删除]
http://www.buydigital.co.kr/1/eml.[已删除]
http://amaramafra.sc.gov.br/1/eml.[已删除]
http://camposequipamentos.com.br/1/eml.[已删除]
http://cbradio.sos.pl/1/eml.[已删除]
http://c-d-c.com.au/1/eml.[已删除]
http://www.klanpl.com/1/eml.[已删除]
http://coparefrescos.stantonstreetgroup.com/1/eml.[已删除]
http://creainspire.com/1/eml.[已删除]
http://desenjoi.com.br/1/eml.[已删除]
http://www.inprofile.gr/1/eml.[已删除]
http://www.diem.cl/1/eml.[已删除]
http://www.discotecapuzzle.com/1/eml.[已删除]
I搜索以下扩展名中的邮件地址
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
J排除含有以下字符串的邮件地址
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
K将病毒自身(保存在temp.zip文件中)发送到上述地址
邮件的特性如下:

发信人:[随机名称]

主题:[随机名称]

内容:

Thepasswordis:[图片名称]
Password--[图片名称]
Usepassword[图片名称]
Passwordis[图片名称]
Zippassword:[图片名称]
Ziparchivepassword:[图片名称]
Password-[图片名称]toopenarchive.
Password:[图片名称]

附件:[随机名称].zip

[随机名称]为以下之一:

Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Christean
Christian
Constance
Cybil
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede
Tothebeloved
Iloveyou

L从以下地址下载病毒,保存在系统目录下为re_file.exe并执行。
http://ujscie.one.pl/888[已删除]
http://1point2.iae.nl/888[已删除]
http://appaloosa.no/888[已删除]
http://apromed.com/888[已删除]
http://arborfolia.com/888[已删除]
http://pawlacz.com/888[已删除]
http://areal-realt.ru/888[已删除]
http://bitel.ru/888[已删除]
http://yetii.no-ip.com/888[已删除]
http://art4u1.superhost.pl/888[已删除]
http://www.artbed.pl/888[已删除]
http://art-bizar.foxnet.pl/888[已删除]
http://www.jonogueira.com/888[已删除]
http://asdesign.cz/888[已删除]
http://ftp-dom.earthlink.net/888[已删除]
http://www.aureaorodeley.com/888[已删除]
http://www.autoekb.ru/888[已删除]
http://www.autovorota.ru/888[已删除]
http://avenue.ee/888[已删除]
http://www.avinpharma.ru/888[已删除]
http://ouarzazateservices.com/888[已删除]
http://stats-adf.altadis.com/888[已删除]
http://bartex-cit.com.pl/888[已删除]
http://bazarbekr.sk/888[已删除]
http://gnu.univ.gda.pl/888[已删除]
http://bid-usa.com/888[已删除]
http://biliskov.com/888[已删除]
http://biomedpel.cz/888[已删除]
http://blackbull.cz/888[已删除]
http://bohuminsko.cz/888[已删除]
http://bonsai-world.com.au/888[已删除]
http://bpsbillboards.com/888[已删除]
http://cadinformatics.com/888[已删除]
http://canecaecia.com/888[已删除]
http://www.castnetnultimedia.com/888[已删除]
http://compucel.com/888[已删除]
http://continentalcarbonindia.com/888[已删除]
http://ceramax.co.kr/888[已删除]
http://prime.gushi.org/888[已删除]
http://www.chapisteriadaniel.com/888[已删除]
http://charlesspaans.com/888[已删除]
http://chatsk.wz.cz/888[已删除]
http://www.chittychat.com/888[已删除]
http://checkalertusa.com/888[已删除]
http://cibernegocios.com.ar/888[已删除]
http://5050clothing.com/888[已删除]
http://cof666.shockonline.net/888[已删除]
http://comaxtechnologies.net/888[已删除]
http://concellodesandias.com/888[已删除]
http://www.cort.ru/888[已删除]
http://donchef.com/888[已删除]
http://www.crfj.com/888[已删除]
http://kremz.ru/888[已删除]
http://dev.jintek.com/888[已删除]
http://foxvcoin.com/888[已删除]
http://uwua132.org/888[已删除]
http://v-v-kopretiny.ic.cz/888[已删除]
http://erich-kaestner-schule-donaueschingen.de/888[已删除]
http://vanvakfi.com/888[已删除]
http://axelero.hu/888[已删除]
http://kisalfold.com/888[已删除]
http://vega-sps.com/888[已删除]
http://vidus.ru/888[已删除]
http://viralstrategies.com/888[已删除]
http://svatba.viskot.cz/888[已删除]
http://Vivamodelhobby.com/888[已删除]
http://vkinfotech.com/888[已删除]
http://vytukas.com/888[已删除]
http://waisenhaus-kenya.ch/888[已删除]
http://watsrisuphan.org/888[已删除]
http://www.ag.ohio-state.edu/888[已删除]
http://wbecanada.com/888[已删除]
http://calamarco.com/888[已删除]
http://vproinc.com/888[已删除]
http://grupdogus.de/888[已删除]
http://knickimbit.de/888[已删除]
http://dogoodesign.ch/888[已删除]
http://systemforex.de/888[已删除]
http://zebrachina.net/888[已删除]
http://www.walsch.de/888[已删除]
http://hotchillishop.de/888[已删除]
http://innovation.ojom.net/888[已删除]
http://massgroup.de/888[已删除]
http://web-comp.hu/888[已删除]
http://webfull.com/888[已删除]
http://welvo.com/888[已删除]
http://www.ag.ohio-state.edu/888[已删除]
http://poliklinika-vajnorska.sk/888[已删除]
http://wvpilots.org/888[已删除]
http://www.kersten.de/888[已删除]
http://www.kljbwadersloh.de/888[已删除]
http://www.voov.de/888[已删除]
http://www.wchat.cz/888[已删除]
http://www.wg-aufbau-bautzen.de/888[已删除]
http://www.wzhuate.com/888[已删除]
http://zsnabreznaknm.sk/888[已删除]
http://xotravel.ru/888[已删除]
http://ilikesimple.com/888[已删除]
http://yeniguntugla.com/888[已删除]
M结束以下进程
wuauserv
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
AhnlabtaskScheduler
alerter
AlertManger
AntiVirService
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
AtiHotKeyPoller
avast!Antivirus
avast!MailScanner
avast!WebScanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backwebclient-4476822
BackWebClient-7681197
backwebclient-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewidosecuritysuitecontrol
ewidosecuritysuitedriver
ewidosecuritysuiteguard
F-ProtAntivirusUpdateMonitor
F-SecureGatekeeperHandlerStarter
firewall
fsbwsys
FSDFWD
FSFW
FSMA
FTPFILT.DLL
FwcAgent
fwdrv
GuardNT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfeeFirewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MicrosoftNetWorkFireWallServices
MonSvcNT
MpfService
navapsvc
Ndisuio
NDIS_RD
NetworkAssociatesLogService
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
NormanNJeeves
NormanType-R
NormanZANDA
NortonAntiVirusServer
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
OutbreakManager
OutpostFirewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCCPFW
PCC_PFW
PersFW
PersonalFirewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
wscsvc
QuickHealOnlineProtection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
SymantecAntiVirusClient
SymantecCoreLC
The_Hacker_Antivirus
Tmntsrv
TmPfw
tmproxy
tmtdi
tm_cfw
T_H_S_M
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNeticAntiVirusPlug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
wuauserv
xcomm
N显示图片如下:

清除和日常操作建议
1,使用本站下载频道提供的影子系统,但前提是要在无病毒的状态安装。
(相关连接:down.asp

2,手工清理,可以配合本站下载频道提供的系统进程检查、启动项目检查等工具清理。缺点是需要一定专业知识。
(相关连接:down.asp

3,使用NTFS系统权限对磁盘做限制,从而让病毒没有执行条件。需要一定技术知识。
(相关地址:bbs/20068/57243.htm

4,使用主流的最新版本杀毒软件可以很方便的清除本病毒,例如江民的KV2009、瑞星、金山毒霸等。缺点是正版软件的价格比较贵,不过本站提供网上销售正版软件的服务,价格与专卖店和全国统一价格相比低40~20%,并且服务与他们完全相同,享受正版用户的免费升级等服务。月影老会员可以提供进一部优惠(2006年前注册的聊天室、免费个人主页、社区用户,或者对月影有特殊贡献的用户。)。

订购地址:shop.asp
相关病毒 与邮件病毒相关的所有病毒
W32.Vidon.A
W32.Mobler.B
网银木马新变种
Trojan.DL.Delf.czf
Trojan.DL.Agent.lkk
Worm.Mofeir.ae
FriendGreetings
VBS.Kagra.A@mm
VBS/LastScene@MM
W32/Gibe@MM
W32/Hunch.c@MM
W32/Maldal.k@MM
W32/MyLife.b@MM
W32/MyLife.c@MM
W32/MyLife.g@MM
W32/MyLife.h@MM
W32/MyLife@MM
W32/Pimaf@MM

病毒数据总列表 第一页 50 100 150 200 250 300 350 400 最后一页
关于我们版权声明本站导航友情连结作品演示 TOP↑