病毒名称:
Worm.BBeagle.bg
类别: 蠕虫病毒
病毒资料:
破坏方法:
病毒“恶鹰”新变种
病毒运行后,将自己复制到%system%目录下,文件名为:wingo.exe并在注册表
HKCU\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
中加入自己的键值
wingo=%system%\wingo.exe以达到自启动的目的。
1.病毒将创建多个互斥量:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX-+S+-+k+-+y+-+N+-+e+-+t+-XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____---U
_-oO]xX-S-k-y-N-e-t-Xx[Oo-_
这些互斥量是其前一些版本创建的,病毒利用此来禁止其它变种的运行
2.病毒还将杀死进程例表中以下进程
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICssUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
3.病毒将删除键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
下的如下键值:
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KASPerskyAVEng
SkynetsRevenge
ICQ Net
4.病毒释放如下文件:
%SYSDIR%\wingo.exe. --病毒本身
%SYSDIR%\wingo.exeopen --病毒尾部附加随机数据
删除:
%SYSDIR%\re_file.exe
5.病毒将试图复制到带有字符串:"shar"的目录下,文件名可能为:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack,
working Keygen.exe
Microsoft Office XP working Crack,
Keygen.exe Porno, sex, oral, anal cool,
awesome!!.exe Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAMP 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 fu忖.exe
Matrix 3 Revolution English SuBTitles.exe
ACDSee 9.exe
6.病毒将从如下扩展名的文件中搜索EMAIL地址:
.wab
.txt
.msg
.htm
.shtm
.stm
.XML
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.PHP
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
病毒将使用自己的 SMTP 引擎来发送EMAIL到上面搜到的EMAIL地址,EMAIL特征如下:
发送邮件地址:
主题:
Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi
附件名 :
Price
price
Joke
附件名扩展名:
.exe
.scr
.com
.cpl
7.病毒将不会发送到包含如下字眼的邮件地址:
@hotmail
@MSN
@microsoft
rating@
f-secur
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-10-31
