I-Worm/BBEagle.ac
I-Worm/BBEagle.ac
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/BBEagle.ac在感染计算机上搜索电子邮件地址,利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化。病毒在被感染计算机上打开后门端口1080。
传播过程及特征:
1.生成文件:
%System%\\sys_xp.exe
%System%\\sys_xp.exeopen
%System%\\sys_xp.exeopenopen 含毒zip文件,或病毒cpl文件
2.修改注册表:
/删除注册表启动项下键值
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
包含下列字符串的键值
"My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus AV"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"
/添加键值
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"key" = "%System%\\sys_xp.exe"
3.在感染的计算机上打开后门端口1080,可以用于转发邮件。
4.自动关闭大多数常用杀毒软件和监测工具的进程。
5.将自身复制到名字中包含“shar”的文件夹中,病毒程序可能使用的名称有:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
6.连接多个网页脚本。
7.从下列类型的文件中搜索邮件地址
.adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp
.mbx .mdx .mht .mmf .msg .nch .ods .oft .php
.pl .sht .shtm .stm .tbb .txt .uin .wab .wsh
.xls .xml
利用自带的SMTP引擎发送邮件到上述地址,邮件特征:
发件人:伪造地址
主题:下列之一
Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update
附件:扩展名为.exe/.scr/.com/.cpl/.zip
附件名为下列之一
Information
Details
text_document
Updates
Readme
Document
Info
MoreInfo
Message
注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;
%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),
或 C:\\Windows\\System32 (Windows XP)。