病毒名称(中文):
恶鹰
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
17
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
传染条件:
发作条件:
A、2004.03.25前发作。
系统修改:
A、将病毒自身拷贝到%System%i1ru74n4.exe
B、创建以下文件
%System%godo.exe
%System%ii455nj4.exe
%System%i1ru74n4.exeopen(zip文件)
C、在注册表的主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
中添加如下键值:
"rate.exe"="%System%i1ru74n4.exe"
以便该病毒在每次重启Windows时运行。
D、在注册表的主键:
HKEY_CURRENT_USERSOFTWAREDateTime4
中添加如下键值:
"uid"="<随机数字>"
"port"="2745"为黑客连接打开的端口号
"frun"="1"
E、创建一个名为imain_mutex的互斥量,保证每次只运行一个蠕虫实例。
F、将godo.exe作为一个DLL注入到explorer.exe的地址空间。
G、打开TCP端口,以便黑客连接,端口号为2745
发作现象:
A、有可能会打开记事本程序(notepad.exe),这是因为蠕虫不是从%System%i1ru74n4.exe被启动。
B、向以下站点的80端口发送HTTPGet请求
permail.uni-muenster.de
www.songtext.net/de
www.sportscheck.de
该GET请求包含被感染机器的监听端口,注册表键值"uid"中纪录的ID号。在连接web服务器时,其IP地址也被发送。
C、尝试关闭以下反病毒软件的程序进程:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
D、在本地磁盘扫描具有以下扩展名的文件,以收集邮件地址。
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
E、用自带的smtp引擎发送邮件。
邮件主题从以下段落中选择一个:
Accountsdepartment
Ahtung!
Camila
Dailyactivityreport
Ello!
Flayersamongus
Freedomforeveryone
FromHair-cutter
Fromme
Greettheday
Hardwaredevicesprice-list
Hellomyfriend
Hi!
Jenny
Jessica
Lookingforthereport
Maria
Melissa
Monthlyincomingssummary
NewPrice-list
Price
Pricelist
Price-list
Pricelist
Proclivitytoservitude
Registrationconfirmation
Theaccount
Theemployee
Thesummary
USAgovernmentabolishesthecapitalpunishment
Weeklyactivityreport
Well...
Youaredismissed
Youreallyloveme?hehe
邮件内容从以下段落中选择一个:
Subj
Request
Empty
Response
Everythinginsidetheattach
Lookitthrough
Cya
邮件附件为<随机字符>.zip,该zip文件中包含一个图标为记事本的exe程序。
F、该蠕虫将不会往含以下字段的邮件地址发送邮件。
.gr
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
非凡说明:
A、2004.03.25后,将自行卸载并退出。
