病毒名称：蠕虫病毒Win32.Reaplug.A
其它名称：Win32/Bagle.14848!Downloader, W32/Lilbre-A (Sophos), Net-Worm.Win32.Lebreat.i (Kaspersky)
病毒属性：蠕虫病毒  危害性：中等危害  流行程度：中
具体介绍：

病毒特性：
Win32.Reaplug.A是一种通过微软即插即用中的漏洞可能允许远程执行代码和特权提升 (MS05-039)进行传播的蠕虫。蠕虫是大小为14,848字节，以ASPack 和 UPX格式加壳的Win32 可运行程序。它还会被Win32.Reatle.F worm病毒生成，生成在%Windows% 目录'scan.exe'文件。


感染方式：
运行时，Win32.Reaplug.A生成一个名为"PNP-_-WORM"的互斥体，如果这个互斥体存在，它就会退出。

Reaplug.A复制wuaaclt.exe到%System%目录，并修改注册表，为了在每次系统启动时运行病毒：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PNP="wuaaclt.exe"

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。


传播方式 :
通过漏洞传播
蠕虫尝试攻击微软即插即用中的漏洞进行传播。蠕虫为潜在目标搜索任意IP地址，通过445端口查找存在漏洞的系统。蠕虫进行两种线程扫描，每种都到100。一种线程扫描针对任意IP地址，另一种扫描针对B类(255.255.0.0)中的任意IP地址作为被感染机器。

如果攻击漏洞成功，蠕虫在9113端口生成一个远程shell。随后尝试链接这个后门在远程机器上生成一个FTP脚本。这个脚本指示目标机器从源机器上生成的FTP 服务器 (9112端口)下载一个蠕虫副本。下载的蠕虫使用"xwuaaclt.exe"文件名。随后，命令目标机器运行这个文件，从而感染病毒。

可以通过以下站点下载相关的微软的系统补丁：
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx


危害
删除注册表键值
蠕虫从以下键值删除'erthgdr2'值：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

这个值是被Win32.Bagle worm病毒的一个变体生成。

清除：
KILL安全胄甲InoculateIT v23.70.20；Vet 11.x/9361 版本可检测/清除此病毒。

kill版本：