病毒名称:
Worm.BBEagle.c.enc
类别: 蠕虫
病毒资料:
病毒破坏:
一个蠕虫病毒
病毒行为:
该病毒由3个文件组成病毒程序文件,两个dll文件。病毒程序文件运行后将从体内放出两个dll文件到%system%目录下,文件分别为:doc.exe,onde.exe
之后病毒将向窗口classname为“Shell_TrayWnd”的进程(EXPlorer)注入自己放出的Doc.exe动态库。
Doc.exe的主要功能是加载onde.exe。
病毒功能主模块:Onde.exe
该模块启动后,首先装病毒文件复制到%system%目录下。文件名为:
readme.exeopen(一个zip文件),Readme.exe并在内存中保存一份复本。
在注册表中
SOFTWARE\DateTime2记录一些信息。
如:第一运行,端口号,id等...并在注册表:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows CurrentVersion\Run中加入自己的键值:gouday.exe以达到随系统启动的目的。当病毒为第一次运行时将启动notepad做为伪装。
信息上传:
病毒还将把一些信息(病毒后门端口号,id等)传到一些特定的网站。
进程监控:
病毒建立一个线程不断的遍历系统进程例表,杀死一些和自己体内进程名相符的进程。
ATUPDATER.EXE,AVWUPD32.EXE,AVPUPD.EXE,
LUALL.EXE,DRWEBUPW.EXE,ICssUPPNT.EXE
ICSUPP95.EXE,UPDATE.EXE,NUPGRADE.EXE,
ATUPDATER.EXE,AUPDATE.EXE,AUTODOWN.EXE
AUTOTRACE.EXE,AUTOUPDATE.EXE,AVXQUAR.EXE,CFIAUDIT.EXE,MCUPDATE.EXE,NUPGRADE.EXE
OUTPOST.EXE,AVLTMAIN.EXE
后门:
病毒建立一个后门服务线程,该后门使用2047端口。可以执行如文件下载执行,自杀,病毒文件升级等功能。
邮件传播:
病毒搜索所有硬盘分区。 从以下扩展名文件中提取email地址并向其发送带毒邮件
wab,txt,htm,Html,dbx,mdx,eml,nch,mmf,ods,
cfg,ASP,PHP,pl,adb,sht
邮件特征:
附件为:"随机字符".zip
邮件带有以下之一的字串:
Price.New, Price-list,
Hardware devices price-list,
Weekly activity report
Daily activity report,Maria,
Jenny,Jessica,Registration confirmation
USA government abolishes the capital punishment,Freedom for everyone
Flayers among us,From Hair-cutter,Melissa,
Camila,Price-list,Pricelist
Price list,Hello my friend,Hi!,
Well....Greet the day,The account,
Looking for the report
You really love me? he he,
You are dismissed,Accounts department,
From me,Monthly incomings summary
The summary,Proclivity to servitude,
Ahtung!,The employee
自杀:
当前系统时间为2004年3月14日时,病毒自杀。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-28
