Worm.Beagle.c
病毒别名:贝革热 雏鹰 [江民]
处理时间:
威胁级别:★★★
中文名称:恶鹰变种C
病毒类型:蠕虫
影响系统:Win9x/Win2000/WinXP/Windows Server 2003
病毒行为:
“恶鹰”家族
编写工具:
VC编写,UPX压缩
传染条件:
利用邮件传播
发作条件:
检查计算机日期,如果当前日期是在2004年3月25日之后,病毒将卸载自己并退出。
系统修改:
A、建立互斥体"imain_mutex",用于保证系统中只有唯一的病毒进程;
B、如果病毒在系统目录(%system%)被激活,他会运行记事本,以迷惑用户。
C、自我复制到系统目录
%system%Readme.exe
D、在系统目录中创建以下文件
%system%onde.exe 病毒用于发邮件的模块
%system%doc.exe 用于调用onde.exe
%system%
eadme.exeopen 病毒的ZIP压缩包文件
E、使用线程注入的方法将后门程序的模块注入到系统进程explorer.exe中,以便隐藏执行;
F、添加以下键值
"gouday.exe"="%System%
eadme.exe"
到
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可随机自启动;
G、添加以下键值
"uid"="[Random Value]"
"port"="2745"
"frun"="1"
HKEY_CURRENT_USERSOFTWAREDateTime2
该键值是病毒作者用于记录病毒信息;
H、打开TCP端口2745监听,允许黑客进行一个未授权的访问;
I、访问以下网止,上传病毒在被感染系统内获得的信息,如IP地址等:
permail.uni-muenster.de
www.songtext.net/de
www.sportscheck.de
J、中上以下程序。下面的程序多为常用反病毒软件的升级程序:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE
K、搜索以下指定后缀名的文件,查找其中的电子邮件地址,用于发送病毒邮件:
.wab、 .txt、 .htm、 .html、 .dbx、 .mdx、 .eml、 .nch、 .mmf、 .ods、 .cfg、 .asp、 .php、 .pl、.adb、 .sht
L、病毒使用自己的发信引擎大是妻送病毒邮件,其特征如下:
发件人: (使用搜索到的仍意邮件地址)
主题: (可以是以下字符串中)
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
内容: 通常为空
附件名: <随机字符串>.exe 并打包到一个zip文件中
该病毒不向包含以下域名或邮件地址名的的邮件地址发送病毒邮件:
.ch
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
发作现象:
病毒主程序使用“电子表格”文件的图标,如下图:
特别说明: