病毒名称(中文):
病毒别名:
I-Worm.Bagle[Kaspersky],WORM_BAGLE.A[Trend],W3
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
15872
影响系统:
Win9xWinNTWin2000WinXP
病毒行为:
编写工具:
汇编
传染条件:
该蠕虫从扩展名为:
WAB
TXT
HTM
HTML
中搜索电子邮件地址,然后将自身作为附件发送到收集到的邮件地址,不向下列邮箱发送邮件:
@hotmail.com
@msn.com
@microsoft
@avp
在1月28号后停止发作.该蠕虫自带了一个smtp引擎进行传播,其发送邮件的格式如下:
邮件主题:Hi
邮件内容:
Test=)
<随机生成的一些字符>
--
Test,yep.
附件名称:<随机名称>.exe
附件大小:16K
发作条件:
1月28号后停止发作.
系统修改:
<1>拷贝文件%system%beagle.exe
<2>在注册表写入下列键值,使得病毒在系统启动时自动运行:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
d3dupdate.exe="%System%beagle.exe"
HKEY_USERS\%SystemInfo%SoftwareMicrosoftWindowsCurrentVersionRun
d3dupdate.exe="%System%beagle.exe"
<3>为了使病毒持续活动,在注册表写入下列键值;
HKEY_USERS\%SystemInfo%SoftwareWindows98
Uid=<随机数值>
HKEY_USERS\%SystemInfo%SoftwareWindows98
Frun=%SystemInfo%
注:%SystemInfo%指系统信息,如:ClassID或用户名等.
发作现象:
由于附件的图标根windows自带计算器图标相似,轻易使用户上当,当用户运行病毒后,病毒先运行自身,然后再运行windows自带计算器,因此具有一定的欺骗性.病毒此时在后台运行搜索邮件地址,发送邮件等.
非凡说明:
病毒自带了smtp引擎,因而可以比较随意的以匿名方式发送邮件.