病毒名称(中文):
恶鹰
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
36864
影响系统:
Win9xWinNT
病毒行为:
这是蠕虫病毒恶鹰Beagle的新变种,它一旦运行,会尝试关闭多种知名的杀毒软件,降低
系统的安全性能,然后开启多个病毒线程,并下载另一个病毒体,发送垃圾邮件,实现蠕虫
传播。
1.病毒体采用图片图标,被点击运行后,会弹出图片编辑器运行界面。而实际上病毒体已将自身
拷贝到%system%文件夹下,命名为winshot.exe,并释放另一个动态链结文件wiwshost.exe。
2.病毒修改注册表添加如下启动项,使winshot.exe能够开机运行:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe"="%system%\winshost.exe"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe"="%system%\winshost.exe"
3.wiwhost.exe实际上是一个动态链结文件,它被注入到explorer.exe进程中,不但修改hosts文件,
还尝试关闭多种正在运行的安全进程,然后开启多个线程,这些线程包括:
i)搜索注册表中知名安全软件的注册表项,并将其删除,其中有:
Symantec
NAV
McAfee
KasperskyLab
Agnitum
PandaSoftware
ZoneLabs
KAV50
ii)遍历硬盘;
iii)结束以下安全进程的升级程序:
NUPGRADE.EXE
MSUPDATE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ISCUPP95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
iv)从多个网址下载名为"o**3.gif"的文件,将其拷贝到%windir%目录下,命名为_re_file.exe,
然后运行这个可执行程序,这个程序会发送大量垃圾邮件,实现病毒的传播。
