病毒预报 （2004.3.22- 2004.3.28）

　　病毒名称：“贝革热”新变种（Worm.Bbeagle.Q）

　　病毒别名：Worm.BBeagle.N （瑞星）

　　PE_BAGLE.Q（Trend）

　　W32/Bagle.n@MM （McAfee）

　　Bagle.N（F-Secure）

　　Win32.Bagle.N（Computer Associates）

　　W32/Bagle-N （Sophos）

　　W32.Beagle.N@mm （Symantec）

　　病毒类型：蠕虫

　　受影响系统：Win9x/WinMe/WinNT/Win2000

　　/WinXP/Win2003

　　病毒特性：

　　该病毒和其早先的变种一样，可以感染文件，并利用电子邮件进行传播。病毒所发邮件主题、正文和附件名都是不固定的。

　　1、 生成病毒文件

　　病毒运行后，会将自身拷贝到系统目录%system%下，文件名为：DIRECT.EXE或DIRECT.EXEOPEN。

　　（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）

　　2、 修改注册表项

　　病毒添加注册表项，使得自身能够在系统启动时自动运行，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加

　　directs.exe = "%System%\directs.exe"

　　3、 通过电子邮件传播

　　病毒通过发送不含附件的邮件进行传播。病毒在邮件信体中插入一个链接，一旦打开该邮件，就会自动下载一个HTML文件。这个HTML文件会在Windows系统文件夹中生成一个名为“Q.VBS”的Visual Basic脚本文件。

　　另一方面，病毒将用一个随机命名的文件（通常是用JPEG作为扩展名）下载到Windows系统文件夹中，然后执行，而后将被保存为“SM.EXE”。

　　病毒发送的带毒电子邮件的主题、内容都是不固定的，同时该变种的内容较多，邮件内容由多个部分组合而成，可能为几部分字符串的任意组合。病毒会避免向含有特定字符串的地址发送自身的拷贝。

　　4、 通过网络共享进行传播

　　病毒搜索包含字符串“shar” 的文件夹中，在找到的文件夹下生成病毒文件的副本，并通过网络共享进行传播，病毒文件名字也是不定的。

　　5、 后门能力

　　病毒监听2556端口，接受一些客户端传来的特定命令，病毒还监听81端口，向连接上来的客户端发送一定的脚本文件。

　　6、终止进程

　　病毒会终止很多进程，来阻止和扰乱反病毒软件和防火墙的运行和升级，使得用户的反病毒软件无法处理最新病毒。

　　用户一定要了解该病毒的主要特征，遇到此类邮件立即删除，千万不要打开邮件的附件，避免病毒的感染和进一步的传播。

　　目前，金山、瑞星、趋势公司已经上报解决方案，并对产品进行了升级，都可以有效的清除该病毒。

　　手工清除该病毒的相关操作：

　　1、终止病毒进程

　　在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器--〉进程”，选中正在运行的进程，并终止其运行。

　　2、注册表的恢复

　　点击“开始--〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的directs.exe = “%System%\directs.exe”

　　3、删除病毒释放的文件

　　点击“开始--〉查找--〉文件和文件夹”，查找文件“DIRECT.EXE”和“DIRECT.EXEOPEN”，并将找到的文件删除。

　　4、运行杀毒软件，对系统进行全面的病毒查杀

　　目前，金山、瑞星和趋势公司已经上报解决方案，并对产品进行了升级，都可以有效的清除该病毒。

　　本周发作：

　　病毒名称：“里拉”（Worm_Livra.A）

　　病毒类型：蠕虫病毒

　　发作日期：3月24日

　　危害程度：在24日，病毒会打开网页

　　http://www.avril-lavigne.com，并在屏幕上显示图形和文字。

　　病毒名称：“生日快乐”（Troj_YerHS）

　　病毒类型：特洛伊木马

　　发作日期：3月25日

　　危害程度：3月25日病毒会弹出一个对话框，对话框的标题为 “You are my Best Friend”（你是我最好的朋友），内容为“Happy Birthday Dear”（亲爱的，生日快乐）。

　　病毒名称：WM_Tamago.A

　　病毒类型：宏病毒

　　发作日期：3月26日

　　危害程度：在26日打开或关闭一个Word文档时，病毒会删除C盘中的所有文件，并会在屏幕上显示包含如下内容的对话框：“- TamAGoXi's NoTe X EtERnAl LoVE 2 mY LitTlE gIrl Gi”

　　专家提醒：

　　1、 在对系统进行杀毒之前，先备份重要的数据文件。即使这些文件已经带毒，万一杀毒失败后还有机会将计算机恢复原貌，然后再使用杀毒软件对数据文件进行修复。

　　2、 目前，很多病毒都可以通过网络中的共享文件夹进行传播，所以计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行漏洞的修补以及病毒的检测和清除，从而避免病毒大范围传播，造成更严重的危害。

　　3、 有些病毒发作以后，会破坏Windows的一些关键文件，导致无法在Windows下运行杀毒软件进行病毒的清除，所以应该制作一张DOS环境下的杀毒软件，作为应对措施，进行杀毒。

　　国家计算机病毒应急处理中心

　　计算机病毒防治产品检验中心

　　网 址：Http://www.antivirus-China.org.cn

　　电 话：022-66211488/66211489/66211490 转 8017

　　传 真：022-66211487

　　电子邮件：sos@antivirus-China.org.cn

　　　　　　　security@tj.cnuninet.net

（网络编辑：要俊德）