Worm.Beagle.d
病毒别名:
处理时间:2004-03-01
威胁级别:★★★
中文名称:恶鹰
病毒类型:蠕虫
影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行为:
编写工具:
传染条件:
发作条件:
A、2004.03.14 前发作。
系统修改:
A、将病毒自身拷贝到 %System%README.EXE
B、创建以下文件
%System%ONDE.EXE
%System%DOC.EXE
%System%README.EXEOPEN (zip文件,作为附件随邮件发出)
C、在注册表的主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
中添加如下键值:
gouday.exe = "%System%
eadme.exe"
以便该病毒在每次重启 Windows 时运行。
D、在注册表的主键:
HKEY_CURRENT_USERSOFTWAREDateTime3
中添加如下键值:
"frun" = "1"
"port" = "2745" 为黑客连接打开的端口号
"uid" = "<随机数字>"
E、创建一个名为 iain_m2 的互斥量,保证每次只运行一个蠕虫实例。
F、打开TCP端口,以便黑客连接,端口号为 2745
发作现象:
A、有可能会打开记事本程序(notepad.exe),这是因为蠕虫不是从 %System%
eadme.exe 被启动。
B、向以下站点的80端口发送HTTP Get请求
http://permail.uniuenster.de/scr.php
http://www.songext.net/de/scr.php
http://permail.uniuenster.de/scr.php
该GET请求包含被感染机器的监听端口,注册表键值"uid"中纪录的ID号。在连接web服务器时,其IP地址也被发送。
C、尝试关闭以下反病毒软件的程序进程:
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
D、在本地磁盘扫描具有以下扩展名的文件,以收集邮件地址。
.ADB
.ASP
.CFG
.DBX
.EML
.HTM
.HTML
.MDX
.MMF
.NCH
.ODS
.PHP
.PL
.SHT
.TXT
.WAB
E、用自带的smtp引擎发送邮件。
邮件主题从以下段落中选择一个:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
邮件内容为空。
邮件附件为 <随机字符>.zip,该zip文件中包含一个exe文件,文件名为 README.EXE,图标为excel文件的图标。
F、该蠕虫将不会往含以下字段的邮件地址发送邮件。
.ch
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
特别说明:
A、2004.03.14 后,将自行卸载并退出。