当前位置:在线查询网 > 在线百科全书查询 > I-Worm/BBEagle.ac

I-Worm/BBEagle.ac_在线百科全书查询


请输入要查询的词条内容:

I-Worm/BBEagle.ac

I-Worm/BBEagle.ac

病毒类型:网络蠕虫

危害等级:**

影响平台:Win9X/2000/XP/NT/Me/2003

I-Worm/BBEagle.ac在感染计算机上搜索电子邮件地址,利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化。病毒在被感染计算机上打开后门端口1080。

传播过程及特征:

1.生成文件:

%System%\\sys_xp.exe

%System%\\sys_xp.exeopen

%System%\\sys_xp.exeopenopen 含毒zip文件,或病毒cpl文件

2.修改注册表:

/删除注册表启动项下键值

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

包含下列字符串的键值

"My AV"

"Zone Labs Client Ex"

"9XHtProtect"

"Antivirus"

"Special Firewall Service"

"service"

"Tiny AV"

"ICQNet"

"HtProtect"

"NetDy"

"Jammer2nd"

"FirewallSvr"

"MsInfo"

"SysMonXP"

"EasyAV"

"PandaAVEngine"

"Norton Antivirus AV"

"KasperskyAVEng"

"SkynetsRevenge"

"ICQ Net"

/添加键值

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"key" = "%System%\\sys_xp.exe"

3.在感染的计算机上打开后门端口1080,可以用于转发邮件。

4.自动关闭大多数常用杀毒软件和监测工具的进程。

5.将自身复制到名字中包含“shar”的文件夹中,病毒程序可能使用的名称有:

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Kaspersky Antivirus 5.0

KAV 5.0

Matrix 3 Revolution English Subtitles.exe

Microsoft Office 2003 Crack, Working!.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Opera 8 New!.exe

Porno pics arhive, xxx.exe

Porno Screensaver.scr

Porno, sex, oral, anal cool, awesome!!.exe

Serials.txt.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

Windows Sourcecode update.doc.exe

XXX hardcore images.exe

6.连接多个网页脚本。

7.从下列类型的文件中搜索邮件地址

.adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp

.mbx .mdx .mht .mmf .msg .nch .ods .oft .php

.pl .sht .shtm .stm .tbb .txt .uin .wab .wsh

.xls .xml

利用自带的SMTP引擎发送邮件到上述地址,邮件特征:

发件人:伪造地址

主题:下列之一

Changes..

Encrypted document

Fax Message

Forum notify

Incoming message

Notification

Protected message

Re: Document

Re: Hello

Re: Hi

Re: Incoming Message

RE: Incoming Msg

RE: Message Notify

Re: Msg reply

RE: Protected message

RE: Text message

Re: Thank you!

Re: Thanks :)

Re: Yahoo!

Site changes

Update

附件:扩展名为.exe/.scr/.com/.cpl/.zip

附件名为下列之一

Information

Details

text_document

Updates

Readme

Document

Info

MoreInfo

Message

注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;

%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。

相关分词: I-Worm Worm BBEagle ac