Worm.BBeagle.be

病毒名称:

Worm.BBeagle.be

类别： 蠕虫

病毒资料：

破坏方法：

病毒“恶鹰”新变种，这是蠕虫病毒“恶鹰”新变种，病毒采用PeX压缩，使用32位汇编编写。

病毒流程如下：

1..病毒将创建多个互斥量：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX-+S+-+k+-+y+-+N+-+e+-+t+-XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____---U

_-oO]xX-S-k-y-N-e-t-Xx[Oo-_

这些互斥量是其前一些版本创建的，病毒利用此来禁止其它变种的运行

2.病毒将删除键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run

下的如下键值：

9XHtProtect

Antivirus

EasyAV

FirewallSvr

HtProtect

ICQ Net

ICQNet

Jammer2nd

KASPerskyAVEng

MsInfo

My AV

NetDy

Norton Antivirus AV

PandaAVEngine

SkynetsRevenge

Special Firewall Service

SysMonXP

Tiny AV

Zone Labs Client Ex

service

3.病毒释放如下文件：

％SYSDIR％\bawindo.exe. --病毒本身

％SYSDIR％\bawindo.exeopen --病毒尾部附加随机数据

％SYSDIR％\bawindo.exeopenopen--病毒尾部附加随机数据

％SYSDIR％\re_file.exe --病毒本身

4.病毒向注册表添加如下值来自启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Run

"bawindo"="％SYSDIR％\bawindo.exe"

5.病毒将试图复制到带有字符串："shar"的目录下，文件名可能为：

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack,

working Keygen.exe

Microsoft Office XP working Crack,

Keygen.exe

Porno, sex, oral, anal cool,

awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAMP 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English SuBTitles.exe

ACDSee 9.exe

6.病毒将从如下扩展名的文件中搜索EMAIL地址：

.adb

.asp

.cfg

.cgi

.dbx

.dhtm

.eml

.htm

.jsp

.mbx

.mdx

.mht

.mmf

.msg

.nch

.ods

.oft

.PHP

.pl

.sht

.shtm

.stm

.tbb

.txt

.uin

.wab

.wsh

.xls

.XML

病毒将使用自己的 SMTP 引擎来发送EMAIL到上面搜到的EMAIL地址，EMAIL特征如下：

发送邮件地址:

主题:

Re:

Re: Hello

Re: Hi

Re: Thank you!

Re: Thanks :)

正文: :))

附件名 ：

Price

price

Joke

附件名扩展名：

.exe

.scr

.com

.cpl

7.病毒将不会发送到包含如下字眼的邮件地址：

@avp.

@foo

@hotmail

@iana

@messagelab

@microsoft

@MSN

abuse

admin

anyone@

bsd

bugs@

cafee

certific

contract@

f-secur

feste

free-av

gold-certs@

Google

help@

icrosoft

info@

kasp

Linux

listserv

local

news

nobody@

noone@

noreply

ntivi

panda

pgp

postmaster@

rating@

root@

samples

sopho

spam

support

unix

update

WinRAR

WinZip

这个病毒躲避杀毒软件查杀的伎俩

8.病毒将试图从下列站点下载一个叫ws.jpg的文件

包含微软漏洞：MS04-28：

www.24-7-transportation.com

www.DarrkSydebaby.com

www.FritoPie.NET

www.adhdtests.com

www.aegee.org

www.aimcenter.net

www.alupass.lu

www.amanit.ru

www.andara.com

www.angelartsanctuary.com

www.anthonyflanagan.com

www.approved1stmortgage.com

www.argontech.net

www.asi

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-9-28