I-Worm/BBEagle.o
I-Worm/BBEagle.o
I-Worm/BBEagle.o“雏鹰”蠕虫病毒的最新变种,值得注意的是,此变种会感染可执行文件.病毒用其自身的SMTP引擎群发电子邮件进行传播,在TCP端口2556打开后门。试图通过文件共享软件(如Kazza, iMesh)来传播。它会将自身复制到名字包含"shar"字样的文件夹中。如果发现用户计算机已经感染了“网络天空”病毒,I-Worm/BBEagle.o会自动将之清除。
I-Worm/BBEagle的最近变种在发信传播时,其伪造的发信人地址和收信用户的邮件地址具有相同的域名称,更具欺骗性。
病毒一旦被执行,有如下动作:
1.复制自身分别为
%System%winupd.exe
%System%winupd.exeopen
%System%winupd.exeopenopen
该病毒文件伪装成文本文件图标。
2. 在注册表HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun 下添加 "winupd.exe"="%System%winupd.exe" 键值
从注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 下删除 :
9XHtProtect
Antivirus
HtProtect
ICQ Net
ICQNet
My AV
Special Firewall Service
Tiny AV
Zone Labs Client Ex
service
3.在TCP端口2556开一后门,黑客在此处发送一个特定格式数据使病毒允许任意文件下载到系统安装目录下,且以iuplda<?>.exe命名 (注:<?>为随机字符).
4.搜索本地驱动器试图感染可执行文件。被感染文件附带蠕虫程序。该病毒在感染每个新文件时进行变形,使查杀难度增加。
5.病毒源码中有针对I-Worm/NetSky的文本:
6.尝试结束绝大多数国外杀毒软件、防火墙、常用监控程序和某些病毒进程。
7.当病毒通过Kazza, iMesh等文件共享软件传播时,将自身复制到名字包含“shar”字样的文件夹中
8. 在本地固定的驱动器下有下列扩展名的文件中搜索适当的邮件地址:
adb asp cfg cgi dbx dhtm eml htm jsp mbx mdx
mht mmf msg nch ods oft php pl sht shtm stm
tbb txt uin wab wsh xls xml
9.使用自己的 SMTP 引擎发送自身到上述邮件地址。它包含自己的 MIME 编码例程,并在内存中编写邮件,然后将其发送到搜索到的地址. 病毒还有意忽略一些著名信息安全公司和反病毒公司的邮件地址。
10.病毒邮件特征:
发信人:<伪造>,可能是下列地址之一:
management@<收信人域>
administration@<收信人域>
staff@<收信人域>
antivirus@<收信人域>
antispam@<收信人域>
noreply@<收信人域>
support@<收信人域>
附件:一般为.pif .zip .rar类型文件,而且.zip和.rar文件包含一个.exe文件可能有密码保护。
如果蠕虫是一个.exe文件,会用文本文件方式运行。