病毒名称:
Worm.BBeagle.b.enc
类别: 蠕虫
病毒资料:
破坏方法:
一个蠕虫病毒
病毒形为:
该病毒将检测系统时间,当前时间为2004年2月25号之后时病毒将失去传播性。
病毒什么事也不做就退出。
病毒运行后将在注册表HKCU\SOFTWARE\Windows2000中的frn和gid里记录信息。
FRN(为病毒驻留标记)gid(病毒对当前系统的标识)。
病毒将自己复制到%system%目录下。文件名为:au.exe
并在注册表
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值au.exe
当病毒检测到命令行最后不是以-udp结尾时,将启动sndrec32.exe(window的
录音板程序,病毒图标为wav文件图标)
病毒将建立几个线程分别执行病毒功能:
病毒线程1:
病毒如果在当前系统是第一次运行不会进行邮件传播,病毒将直接进入一个Sleep 1秒的死循环动作,否则:病毒将进行邮件传播。
病毒搜索所有硬盘,并尝试在以下扩展名文件中搜索email地址并向这些
地址发送带毒邮件。
病毒搜索email地址的文件:.wab .txt .htm .Html
病毒搜到一个地址就调用自己的Smtp引擎向该地址发送一封病毒邮件。
邮件标题为:ID [随机字符] thanks
邮件正文件为:
Yours ID [随机字符]
--
Thank,
邮件附件:
为名字为:"随机字符.exe"的病毒文件。
病毒线程2:
驻留内存并监听8866 端口,当有联接时,病毒将把当前系统的ip地址和8866端口号发送给对方并根据传来的数据判别是否下载一个文件到%windows%目录下。
(文件名为:bsupld.exe) 并以-upd为命令行启动该文件。病毒在这里还有一段根据网络传来的数据进行判断自毁的操作。很可能该功能为病毒作者预留的手动升级模块或是用来执行任意文件的后门。
病毒线程3:
以下两个动作:
1.自毁:
测试当前系统时间是否超过2004年2月25号。如果是的话
病毒将放出一个a.bat的脚本并执行。病毒进程将退出。
(a.bat是用来对病毒文件进行删除的)
2. 尝试联接以下网址:并把当前系统的标识(病毒生成的)和端口号8866传上去。
http://***www.47df.de/wbboard/1.PHP
http://***www.strato.de/1.php
http://***intern.games-ring.de/1.php
http://***www.strato.de/2.php
......
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-18