病毒预报93（11.8- 11.14）

近日，IE浏览器又出现一个严重的安全漏洞，恶意用户可以利用HTML电子邮件信息或恶意网页，控制被计算机系统。由于利用该漏洞的代码已经被公布在互联网上，因此，目前这一漏洞具有高危险性。

IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出，新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时，都有可能会受到攻击。

目前，只有安装了Windows XP SP2的系统就不存在这一漏洞， Windows XP SP1和Windows 2000即使安装了所有的补丁，其所带的IE 6.0浏览器仍然存在这一漏洞。目前微软还没有发布相关的安全补丁。

针对该漏洞的建议

1、 使用Windows XP的用户，安装Windows XP SP2

2、 系统管理员还可以禁用活动脚本(active scri pting)，阻止访问非主动链接

3、 在电子邮件中使用纯文本，这样也可以减少部分危险性

4、 浏览网页时提高警惕，不要随便进入不明网站，一旦发现IE浏览器失去响
应，立即终止IE进程，并断开网络连接，查找问题

5、 及时更新防病毒软件，并启动"实时监控"功能

"贝革热"病毒变种Worm_Bbeagle.AT

国家计算机病毒应急处理中心通过对互联网的监测，发现"贝革热"病毒出现了新的变种。该变种通过邮件和共享文件夹进行传播，病毒运行后修改注册表，在系统目录下创建文件。

病毒在本地搜索邮箱地址时，排除了安全厂商及相关机构的邮箱地址，避免过早的被这些企业、机构得到病毒样本。同时病毒还会终止一些安全软件的运行。病毒邮件的附件名称为price或joke，邮件的内容为":))"。由于该病毒特征较为明显，希望用户引起注意，遇到此类邮件立即删除。

病毒名称：Worm_Bbeagle.AT（"贝革热"病毒变种）
其它英文命名：Win32.Bagle.AQ （Computer Associates）
Worm_Bbeagle.bf（瑞星）
Worm_Bbeagle.t（金山）
W32.Beagle.AV@mm （Symantec）
W32/Bagle.BC.worm （Panda）
WORM_BAGLE.AT （Trend Micro）
Bagle.AT （F-Secure）
W32/Bagle.bb@mm （McAfee）
W32/Bagle-AU （Sophos）
I-Worm.Bagle.at （Kaspersky）
W32/Bagle.AQ@mm （Norman）
感染系统：Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
病毒特征：

1、生成病毒文件

病毒运行后在%System％目录下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
（其中，%System%为系统文件夹，在默认情况下，在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32）

2、修改注册表项

病毒会添加注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒还会在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "[ 随机变量 ]"

3、通过电子邮件传播

病毒通过电子邮件进行传播，病毒搜索被感染计算机内多种类型的文件（文件类型见文档末尾），从中找到邮件地址，并使用自带得SMTP引擎向这些地址发送病毒邮件，病毒同时会避免向一些包含特定字符的地址发送邮件（过滤的字符见文档末尾）。病毒邮件格式如下
发信人：虚假的地址

主题：（为下列之一）
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
内容：
:))
附件名称：（为下列之一）
Price
price
Joke
附件的扩展名：（为下列之一）
COM
CPL
EXE
SCR

4、通过网络共享进行传播

病毒搜索包含字符串shar的文件夹，并在找到的文件夹下生成自身的拷贝，拷贝有多种名称，如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。

5、阻止安全软件的运行

病毒为了保护自身的运行，会终止一些与安全软件相关的进程，以便阻止他们的运行。

清除该病毒的一些建议：

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows N