Worm.Beagle.H

病毒信息：

病毒名称:Worm.Beagle.H

中文名称: “恶鹰”变种H

威胁级别: 3B

病毒别名: 贝革热、雏鹰

W32/Bagle.h@MM [McAfee]

W32/Bagle-H [Sophos]

I-Worm.Bagle.Gen [Kaspersky]

WORM_BAGLE.H [Trend]

病毒类型: 蠕虫、木马

受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

---------------------------------------------------------

技术特点：

· 传染条件：利用电子邮件高速传播；

· 发作条件：

A、2004.03.25 前发作, 2004.03.25号以后将自动卸载；

B、如果病毒发现自己的文件名不是%System%\i11r54n4.exe，它将启动Windows的记事本程序；

· 系统修改：

A、将病毒自身拷贝到 %System%\i11r54n4.exe；

B、创建以下文件

%System%\go154o.exe, 19968字节, DLL文件，病毒用于发信的模块

%System%\i1i5n1j4.exe, 1536字节，DLL文件，调用godo.exe的模块

%System%\i11r54n4.exeopen，这是一个密码保护的.zip文件；

C、在注册表的主键:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

中添加如下键值:

"rate.exe"="%System%\i11r54n4.exe"

以便该病毒在每次重启 Windows 时运行

在注册表的主键:

HKEY_CURRENT_USER\SOFTWARE\winword

中添加如下键值:

"frun"="1"

D、创建一个名为 imain_mutex 的互斥量，保证每次只运行一个蠕虫实例；

E、将 go54o.exe 作为一个 DLL 注入到 explorer.exe 的地址空间；

F、打开TCP端口，以便黑客连接，端口号为 2745

· 发作现象：

A、向以下站点的80端口发送Get请求

http://postertog.de/scr.php

http://www.gfotxt.net/scr.php

http://www.maiklibis.de/scr.php

传送病毒在系统内收集的信息，比如：受感染系统的IP等信息；

B、尝试关闭以下反病毒软件的程序进程，阻止反病毒程序升级：

Atupdater.exe

Aupdate.exe

Autodown.exe

Autotrace.exe

Autoupdate.exe

Avltmain.exe

Avpupd.exe

Avwupd32.exe

Avxquar.exe

Cfiaudit.exe

Drwebupw.exe

Icssuppnt.exe

Icsupp95.exe

Luall.exe

Mcupdate.exe

Nupgrade.exe

Outpost.exe

Update.exe

C、在本地磁盘扫描具有以下扩展名的文件，以收集邮件地址。

.wab .txt .htm .html .dbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .adb .sht

D、用自带的smtp引擎发送邮件。

邮件主题从以下字符串中选择一个：

Hokki =)

Weah, hello! :-)

Weeeeee! ;)))

Hi! :-)

ello! =))

Hey, ya! =))

^_^ meay-meay!

^_^ meay-meay!

^_^ mew-mew (-:

邮件内容从以下段落中选择一个：

Hey, dude, it's me ^_^ :P

Argh, i don't like the plaintext :)

I don't bite, weah!

Looking forward for a response :P

如果该邮件带有密码保护的附件，那么正文中还会有如下的字符串：

btw <随机字符串> is a password for archive

邮件附件名从以下字符串中选择一个:

TextDocument

Readme

Msg

Msginfo

Document

Info

Attachedfile

Attacheddocument

TextDocument

Text

TextFile

Letter

MoreInfo

Message

邮件附件后缀为：

.zip

E、该蠕虫将不会往含以下字段的邮件地址发送邮件：

.gr

@hotmail.com

@msn.com

@microsoft

@avp.

noreply

local

root@

postmaster@

F、该病毒将使用以文件夹的图标：

（如附图）

以迷惑用户将他误认为文件夹而点击感染.

G、该病毒为了可以在文件共享网络传播，如：KaZaA 和 iMesh, 它查找含有字符串"shar"的共

享文件夹将其自己拷贝进去，文件名在以下字符串中选择一个：

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Matrix 3 Revolution English Subtitles.exe

Microsoft Office 2003 Crack, Working!.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Opera 8 New!.exe

Porno pics arhive, xxx.exe

Porno Screensaver.scr

Porno, sex, oral, anal cool, awesome!!.exe

Serials.txt.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

Windows Sourcecode update.doc.exe

XXX hardcore images.exe

解决方案:

·金山毒霸已经于3月2日对该病毒进行了应急处理，请升级最新版可完全查该病毒；

· 请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注

意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件；