Để diệt virus W32.BeagleAG.Worm, bạn cần thực hiện theo các bước sau:
1. Tải phần mềm Bkav phiên bản Bkav527 về một thư mục trên máy.
2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.
3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.
4. Chạy Bkav527, chọn quét tất cả các file, tất cả các ổ đĩa.
5. Khởi động lại máy tính để hoàn tất.
Một số đặc điểm của virus W32.BeagleAG.Worm
1. Tạo các Mutex sau để ngăn không cho một số virus thuộc họ NetSky được thi hành:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
2. Xoá các giá trị có tên sau :
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
trong :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
để ngăn không cho một số virus khác được thi hành khi khởi động hệ điều hành.
3. Copy chính nó vào :
%SYS%\winxp.exe
%SYS%\winxp.exeopen
%SYS%\winxp.exeopenopen(với %SYS% là thư mục chứa các file hệ thống của Windows.)
4. Tạo giá trị có tên là "key" và dữ liệu là "%SYS%\winxp.exe" trong key :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
để virus được thi hành mỗi khi người dùng khởi động Windows.
5. Đóng các process có tên sau :
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30
EXE.MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE.
REGEDT32.EXE
REGEDIT.EXE
MSCONFIG.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
FIREWALL.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
...(và nhiều process khác)
6. Tìm và lấy địa chỉ thư trong các file có phần mở rộng sau :
.wab .txt .msg .htm .shtm .stm .xm .dbx .mbx
.mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb
.tbb .sht .xls .oft .uin .cgi .mht .dhtm .jspbỏ qua những địa chỉ thư có chứa các xâu :
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-c
erts@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@Ngoài ra virus còn tìm và lấy Icon trong các file .exe để sử dụng.
7. Copy chính nó vào các thư mục mà tên có chứa 'shar' với các tên sau :
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP,WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXXhardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen CrackUpdate.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
8. Tạo và gửi các thư với đặc điểm sau :
Tiêu đề : Re
Nội dung thư có thể là :
>foto3 and MP3
>fotogalary and Music
>fotoinfo
>Lovely animals
>Animals
>Predators
>The snake
>Screen and MusicFile đính kèm có kích thước biến thiên và có các đặc điểm sau :
Tên file có thể là một trong các giá trị :
MP3
Music_MP3
New_MP3_Player
Cool_MP3
Doll
Garry
Cat
Dog
FishPhần mở rộng :
.exe
.scr
.com
.zip
.cplCác file đính kèm nếu có phần mở rộng là .zip đều là file nén có password. Khi đó nội dung thư sẽ có password giải nén gửi kèm. Password này được vẽ dưới dạng hình ảnh với chữ gốc là font Arial, kích thước và mầu sắc có thể biến thiên.
9. Chạy một php script từ một số trang web của Đức :
http://www.bmgs.bund.de/o.php
http://www.gtz.de/o.php
http://www.dwelle.de/o.php
http://www.monster.de/o.php
http://www.regtp.de/o.php
http://www.stufenlos-regelbar.de/o.php
http://www.rapz-records.de/o.php
http://abtacha.wirebrain.de/o.php
http://die-cliquee.de/o.php
http://www.gantke-net.de/o.php
http://www.dar-fantasy.de/o.php
http://www.mdirk.de/o.php
http://www.calistyler.de/o.php
http://tripod.de/o.php
http://sgi1.rz.rwth-aachen.de/o.php
http://www.sysserver1.de/o.php
http://www.vwschubert.de/o.php
http://ronnyackermann.de/o.php
http://www.destatis.de/o.php
http://www.berlinonline.de/o.php
http://www.meinestadt.de/o.php
http://obechmann.de/o.php
http://www.stepstone.de/o.php
http://www.degruyter.de/o.php
http://www.lufthansa.de/o.php
http://www.duden.de/o.php
http://www.pcwelt.de/o.php
http://www.astronomie.de/o.php
http://www.abacho.de/o.php
http://www.bundesliga.de/o.php
http://www.expo2000.de/o.php
http://knecht.cs.uni-magdeburg.de/o.php
....(và còn nhiều trang web khác)
Chuyên viên phân tích: Nguyễn Minh Anh.