病毒名称(中文):
恶鹰变种C
病毒别名:
贝革热雏鹰[江民]
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
15
影响系统:
Win9xWin2000WinXPWin2003
病毒行为:
“恶鹰”家族
编写工具:
VC编写,UPX压缩
传染条件:
利用邮件传播
发作条件:
检查计算机日期,假如当前日期是在2004年3月25日之后,病毒将卸载自己并退出。
系统修改:
A、建立互斥体"imain_mutex",用于保证系统中只有唯一的病毒进程;
B、假如病毒在系统目录(%system%)被激活,他会运行记事本,以迷惑用户。
C、自我复制到系统目录
%system%Readme.exe
D、在系统目录中创建以下文件
%system%onde.exe病毒用于发邮件的模块
%system%doc.exe用于调用onde.exe
%system%
eadme.exeopen病毒的ZIP压缩包文件
E、使用线程注入的方法将后门程序的模块注入到系统进程explorer.exe中,以便隐藏执行;
F、添加以下键值
"gouday.exe"="%System%
eadme.exe"
到
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可随机自启动;
G、添加以下键值
"uid"="[RandomValue]"
"port"="2745"
"frun"="1"
HKEY_CURRENT_USERSOFTWAREDateTime2
该键值是病毒作者用于记录病毒信息;
H、打开TCP端口2745监听,答应黑客进行一个未授权的访问;
I、访问以下网止,上传病毒在被感染系统内获得的信息,如IP地址等:
permail.uni-muenster.de
www.songtext.net/de
www.sportscheck.de
J、中上以下程序。下面的程序多为常用反病毒软件的升级程序:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE
K、搜索以下指定后缀名的文件,查找其中的电子邮件地址,用于发送病毒邮件:
.wab、.txt、.htm、.html、.dbx、.mdx、.eml、.nch、.mmf、.ods、.cfg、.asp、.php、.pl、.adb、.sht
L、病毒使用自己的发信引擎大是妻送病毒邮件,其特征如下:
发件人:(使用搜索到的仍意邮件地址)
主题:(可以是以下字符串中)
Accountsdepartment
Ahtung!
Camila
Dailyactivityreport
Flayersamongus
Freedomforeveryone
FromHair-cutter
Fromme
Greettheday
Hardwaredevicesprice-list
Hellomyfriend
Hi!
Jenny
Jessica
Lookingforthereport
Maria
Melissa
Monthlyincomingssummary
NewPrice-list
Price
Pricelist
Pricelist
Price-list
Proclivitytoservitude
Registrationconfirmation
Theaccount
Theemployee
Thesummary
USAgovernmentabolishesthecapitalpunishment
Weeklyactivityreport
Well...
Youaredismissed
Youreallyloveme?hehe
内容:通常为空
附件名:<随机字符串>.exe并打包到一个zip文件中
该病毒不向包含以下域名或邮件地址名的的邮件地址发送病毒邮件:
.ch
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
发作现象:
病毒主程序使用“电子表格”文件的图标,如下图:
非凡说明: