Email-Worm.Win32.Bagle.fj邮件蠕虫自4月3日出现以来，通过Internet迅速传播。其获取受感染主机上的电子邮件地址作为转发对象，将自身发送出去，或者通过文件共享网络进行传播。它能阻止反病毒软件运行，并修改host文件，阻止用户访问反病毒网站或进行杀毒软件更新。一旦运行，病毒打开一个新的文本编辑窗口。

1.复制自身为%System%\sysformat.exe。

2.添加注册表启动项，以达到随系统启动的目的：

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"sysformat" = "%System%\sysformat.exe"

　修改注册表使Windows XP自带防火墙失效：

HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"

　添加感染标志记录到系统注册表：

[HKCU\Software\Microsoft\Params]
"FirstRun" = "01"

　删除注册表键值：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"My AV"
"ICQ Net"

3.从下列后缀文件中获取电子邮件地址：

.adb .asp .cfg .cgi .dbx .dhtm .eml .htm
.jsp .mbx .mdx .mht .mmf .msg .nch .ods
.oft .php .pl .sht .shtm .stm .tbb .txt
.uin .wab .wsh .xls .xml

　为了传播病毒体文件，该蠕虫建立一个与接收方SMTP服务器的直接连接。

　当遇到下列下列字符串时，蠕虫不会进行恶意邮件发送：

@avp. @foo @iana @messagelab @microsoft abuse
admin anyone@ bsd bugs@ cafee certific contract@
feste free-av f-secur gold-certs@ google help@ icrosoft
......

　恶意邮件主题可能为：

Delivery by mail
Delivery service mail
February price
Is delivered mail
price
Registration is accepted
You are made active

　恶意邮件可能正文内容为：

Before use read the help
February price
price
Thanks for use of our software.

　恶意邮件可能附件名为：

21_price.zip February_price.zip guupd02.zip Jol03.zip new_price.zip price.zip
pricelist.zip pricelst.zip siupd02.zip upd02.zip viupd02.zip wsd01.zip zupd02.zip

4.蠕虫借助P2P共享软件传播，其搜索含有"Shar"字段的文件名，将自己拷贝到其所有的子目录下，可能名称为：

1.exe 10.exe 2.exe 3.exe 4.exe 5.scr 6.exe 7.exe 8.exe 9.exe ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Matrix 3 Revolution English Subtitles.exe Opera 8 New!.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe XXX hardcore images.exe

5.当下列站点有文件更新时，蠕虫下载新文件到目标主机并运行：

http://www.alexandriaradiology.com
http://www.algor.com
http://www.belwue.de
http://www.booksbyhunter.com
http://www.campus-and-more.com
......

6.终止下列进程：

alogserv.exe APVXDWIN.EXE ATUPDATER.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXEAUTOTRACE.EXE AUTOUPDATE.EXE Avconsol.exe AVENGINE.EXE
......

7.修改"%System%\drivers\etc\hos文件，添加下列信息，阻止用户访问：

127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
......

安天CERT忠告广大用户：

1.及时下载并安装系统补丁。
2.不要轻易点击即时聊天工具和论坛中的不明链接，不要执行可信度不高的程序。
3.使用安天木马防线2005+，并及时升级，为您的系统提供透明的保护。

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net