Worm.Beagle.A

病毒名称(中文):

病毒别名:

I-Worm.Bagle[Kaspersky],WORM_BAGLE.A[Trend],W3

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

15872

影响系统:

Win9xWinNTWin2000WinXP

病毒行为:

编写工具:

汇编

传染条件:

该蠕虫从扩展名为:

WAB

TXT

HTM

HTML

中搜索电子邮件地址,然后将自身作为附件发送到收集到的邮件地址,不向下列邮箱发送邮件:

@hotmail.com

@msn.com

@microsoft

@avp

在1月28号后停止发作.该蠕虫自带了一个smtp引擎进行传播,其发送邮件的格式如下:

邮件主题:Hi

邮件内容:

Test=)

<随机生成的一些字符>

--

Test,yep.

附件名称:<随机名称>.exe

附件大小:16K

发作条件:

1月28号后停止发作.

系统修改:

<1>拷贝文件%system%beagle.exe

<2>在注册表写入下列键值,使得病毒在系统启动时自动运行:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

d3dupdate.exe="%System%beagle.exe"

HKEY_USERS\%SystemInfo%SoftwareMicrosoftWindowsCurrentVersionRun

d3dupdate.exe="%System%beagle.exe"

<3>为了使病毒持续活动,在注册表写入下列键值;

HKEY_USERS\%SystemInfo%SoftwareWindows98

Uid=<随机数值>

HKEY_USERS\%SystemInfo%SoftwareWindows98

Frun=%SystemInfo%

注:%SystemInfo%指系统信息,如:ClassID或用户名等.

发作现象:

由于附件的图标根windows自带计算器图标相似,轻易使用户上当,当用户运行病毒后,病毒先运行自身,然后再运行windows自带计算器,因此具有一定的欺骗性.病毒此时在后台运行搜索邮件地址,发送邮件等.

非凡说明:

病毒自带了smtp引擎,因而可以比较随意的以匿名方式发送邮件.

• ·Win32.Troj.JXGhost
• ·Worm.Sinala
• ·Win32.Troj.IELockaogo
• ·Worm.SdBot.dc
• ·Win32.Hack.Monator.32
• ·Worm.Novarg.a
• ·DOS.Australian
• ·Worm.Novarg.b
• ·Worm.Raleka.m
• ·Win32.Troj.Mir2pass