江民公布袋子病毒技术分析报告

　　2004年10月27日，江民反病毒中心监视到“袋子”病毒最新变种I-Worm/Bagz.d在国内疯狂传播，已造成很多用户感染。该病毒在感染计算机上搜索电子邮件地址，然后利用自带的SMTP引擎发送病毒本身。病毒还通过改写本地hosts 文件来屏蔽若干杀毒软件网址，阻止用户升级。病毒通过关闭杀毒软件、防火墙的方式来阻止自己被查杀。

　　病毒类型：网络蠕虫

　　病毒大小：157194字节

　　传播方式：网络

　　压缩方式：upx

　　危害等级：★★

　　具体技术特征如下：

　　1. 在感染计算机上释放下列文件：

　　%System%\rpc32.exe

　　%System%\run32.exe

　　%System%\sysboot.doc (多个空格) .exe

　　%System%\about.doc (多个空格) .exe

　　%System%\about.zip

　　%System%\admin.doc (多个空格) .exe

　　%System%\admin.zip

　　%System%\archivator.doc (多个空格) .exe

　　%System%\archivator.zip

　　%System%\archives.doc (多个空格) .exe

　　%System%\archives.zip

　　%System%\ataches.doc (多个空格) .exe

　　%System%\ataches.zip

　　%System%\backup.doc (多个空格) .exe

　　%System%\backup.zip

　　%System%\docs.doc (多个空格) .exe

　　%System%\docs.zip

　　%System%\documentation.doc (多个空格) .exe

　　%System%\documentation.zip

　　%System%\help.doc (多个空格) .exe

　　%System%\help.zip

　　%System%\inbox.doc (多个空格) .exe

　　%System%\inbox.zip

　　%System%\manual.doc (多个空格) .exe

　　%System%\manual.zip

　　%System%\outbox.doc (多个空格) .exe

　　%System%\outbox.zip

　　%System%\payment.doc (多个空格) .exe

　　%System%\payment.zip

　　%System%\photos.doc (多个空格) .exe

　　%System%\photos.zip

　　%System%\rar.doc (多个空格) .exe

　　%System%\rar.zip

　　%System%\readme.doc (多个空格) .exe

　　%System%\readme.zip

　　%System%\save.doc (多个空格) .exe

　　%System%\save.zip

　　%System%\zip.doc (多个空格) .exe

　　%System%\zip.zip

　　2.创建一个系统服务：

　　服务名：Network Explorer

　　服务路径：%System%\rpc32.exe

　　3.从注册表中删除包含常用杀毒软件名称的一些键值，阻止杀毒软件和防火墙的启动。

　　4.追加以下一些字串到本地的hosts文件中，达到屏蔽杀毒软件网站，阻止用户升级：

　　127.0.0.1 ad.doubleclick.net

　　127.0.0.1 ad.fastclick.net

　　127.0.0.1 ads.fastclick.net

　　127.0.0.1 ar.atwola.com

　　127.0.0.1 atdmt.com

　　127.0.0.1 avp.ch

　　127.0.0.1 avp.com

　　127.0.0.1 avp.ru

　　127.0.0.1 awaps.net

　　127.0.0.1 banner.fastclick.net

　　127.0.0.1 banners.fastclick.net

　　127.0.0.1 ca.com

　　127.0.0.1 click.atdmt.com

　　127.0.0.1 clicks.atdmt.com

　　127.0.0.1 dispatch.mcafee.com

　　127.0.0.1 download.mcafee.com

　　127.0.0.1 download.microsoft.com

　　127.0.0.1 downloads.microsoft.com

　　127.0.0.1 engine.awaps.net

　　127.0.0.1 f-secure.com

　　127.0.0.1 fastclick.net

　　127.0.0.1 ftp.f-secure.com

　　127.0.0.1 ftp.sophos.com

　　127.0.0.1 go.microsoft.com

　　127.0.0.1 liveupdate.symantec.com

　　127.0.0.1 mast.mcafee.com

　　127.0.0.1 mcafee.com

　　127.0.0.1 media.fastclick.net

　　127.0.0.1 msdn.microsoft.com

　　127.0.0.1 my-etrust.com

　　127.0.0.1 nai.com

　　127.0.0.1 networkassociates.com

　　127.0.0.1 office.microsoft.com

　　127.0.0.1 phx.corporate-ir.net

　　127.0.0.1 secure.nai.com

　　127.0.0.1 securityresponse.symantec.com

　　127.0.0.1 service1.symantec.com

　　127.0.0.1 sophos.com

　　127.0.0.1 spd.atdmt.com

　　127.0.0.1 support.microsoft.com

　　127.0.0.1 symantec.com

　　127.0.0.1 vupdate.symantec.com

　　127.0.0.1 updates.symantec.com

　　127.0.0.1 us.mcafee.com

　　127.0.0.1 vil.nai.com

　　127.0.0.1 viruslist.ru

　　127.0.0.1 windowsupdate.microsoft.com

　　127.0.0.1 www.avp.ch

　　127.0.0.1 www.avp.com

　　127.0.0.1 www.avp.ru

　　127.0.0.1 www.awaps.net

　　127.0.0.1 www.ca.com

　　127.0.0.1 www.f-secure.com

　　127.0.0.1 www.fastclick.net

　　127.0.0.1 www.kaspersky.ru

　　127.0.0.1 www.mcafee.com

　　127.0.0.1 www.my-etrust.com

　　127.0.0.1 www.nai.com

　　127.0.0.1 www.networkassociates.com

　　127.0.0.1 www.sophos.com

　　127.0.0.1 www.symantec.com

　　127.0.0.1 www.trendmicro.com

　　127.0.0.1 www.viruslist.ru

　　127.0.0.1 www3.ca.com

　　5.从扩展名为“.TBB、.tbb、.TB、.tbi、.DBX、.dbx、.HTM、.htm、.TXT、 .txt”之一的文件中搜集email地址，但不向包含以下一些字串的地址发送email：

　　winzip

　　winrar

　　webmaster@

　　update

　　unix

　　support@

　　support

　　spam

　　sopho

　　samples

　　root@

　　rating@

　　postmaster@

　　pgp

　　panda

　　ntivi

　　noreply

　　noone@

　　nobody@

　　news

　　netadmin@

　　local

　　listserv

　　linux

　　kasp

　　info@

　　icrosoft

　　hostmaster@

　　help@

　　google

　　gold-certs@

　　gold-

　　free-av

　　feste

　　f-secur

　　contract@

　　contact@

　　certs@

　　certific

　　cafee

　　bugs@

　　bsd

　　anyone@

　　all@

　　administrator@

　　admin

　　abuse

　　@microsoft

　　@messagelab

　　@iana

　　@foo

　　@avp

　　oocies

　　6.用自带的SMTP引擎向搜集到的email地址发送病毒邮件，邮件包含以下特征：

　　标题：下列字串之一

　　ASAP

　　please responce

　　Read this

　　urgent

　　toxic

　　contract

　　Money

　　office

　　Have a nice day

　　Hello

　　Russian's

　　Amirecans

　　attachments

　　attach

　　waiting

　　best regards

　　Administrator

　　Warning

　　text

　　Vasia

　　re: Andrey

　　re: please

　　re: order

　　Allert!

　　Att

　　邮件正文：部分省略

　　Hi

　　Did you get the previous document I attached for you?

　　I resent it in this email just in case, because I

　　really need you to check it out asap.

　　Best Regards

　　Hi

　　I made a mistake and forgot to click attach

　　on the previous email I sent you. Please give me

　　your opinion on this opportunity when you get a chance.

　　Best Regards

　　Hi

　　I was supposed to send you this document yesterday.

　　Sorry for the delay, please forward this to your family if possible.

　　It contains important info for both of you.

　　Hi

　　Sorry, I forgot to send an important

　　document to you in that last email. I had an important phone call.

　　Please checkout attached doc file when you have a moment.

　　Best Regards

　　Hi

　　I was in a rush and I forgot to attach an important

　　document. Please see attached doc file.

　　Best Regards,

　　Sorry to bother you, but I am having a problem receiving your emails.

　　I am responding to your last email in the attached file.

　　Please get back to me if there is any problem reading the attachment.

　　I am responding to your last email in the attached file.

　　I had a delivery problem with your inbox, so maybe you'll receive this

　　now.

　　Can you please check out the email I have attached?

　　For some reason, I received only part of your last several emails.

　　I want to make sure that there are no problems with either of our

　　accounts.

　　This email is being sent as attachment because

　　it was previously blocked by your email filters.

　　Please view the attachment and respond.

　　Thanks

　　.

　　.

　　.

　　附件(就是病毒体)；下列字串之一

　　backup.zip

　　admin.zip

　　archivator.zip

　　about.zip

　　readme.zip

　　help.zip

　　photos.zip

　　payment.zip

　　archives.zip

　　manual.zip

　　inbox.zip

　　outbox.zip

　　save.zip

　　rar.zip

　　zip.zip

　　ataches.zip

　　documentation.zip

　　docs.zip

　　backup.doc (多个空格) .exe

　　admin.doc (多个空格) .exe

　　archivator.doc (多个空格) .exe

　　about.doc (多个空格) .exe

　　readme.doc (多个空格) .exe

　　help.doc (多个空格) .exe

　　photos.doc (多个空格) .exe

　　payment.doc (多个空格) .exe

　　archives.doc (多个空格) .exe

　　manual.doc (多个空格) .exe

　　inbox.doc (多个空格) .exe

　　outbox.doc (多个空格) .exe

　　save.doc (多个空格) .exe

　　rar.doc (多个空格) .exe

　　zip.doc (多个空格) .exe

　　ataches.doc (多个空格) .exe

　　documentation.doc (多个空格) .exe

　　docs.doc (多个空格) .exe

　　sysboot.doc (多个空格) .exe

　　针对该病毒，江民公司已经在第一时间升级了病毒库。请您在收到符合上述描述的电子邮件时千万不要点击运行附件程序，并及时升级到10月27日病毒库，即可全面查杀该病毒，保护您的系统不受其侵害。