I-Worm/BBEagle.p
I-Worm/BBEagle.p
病毒长度:25,600 bytes
病毒类型:网络蠕虫
影响平台:Win9x/Me/2000/XP/NT/2003
I-Worm/BBEagle.p是“雏鹰“变种,它利用自己的SMTP引擎群发邮件进行传播,试图通过文件共享软件进行传播。该蠕虫病毒还感染.exe文件。
其传播过程及特征如下:
1.首先检查系统时间,如果为2006年或其后,那么它将删除蠕虫在注册表里添加的子键和键值,并结束它的所有功能。
2.在系统目录下创建directs.exe 和directs.exeopen文件
3.修改注册表:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下添加"directs.exe"="%System%directs.exe"键值;
添加HKEY_CURRENT_USERSOFTWAREwindirects子键;
删除启动项下9XHtProtect,Antivirus, HtProtect,ICQ Net,
ICQNet,My AV,NetDy ,pecial Firewall Service,
Tiny AV,Zone Labs Client Ex,service等值。
4.结束部分国外杀毒软件、防火墙、常用监控程序和某些病毒进程
5.在TCP端口2556开后门,如果黑客发送特定格式数据到此,蠕虫会允许下载任意文件存储到系统安装目录下,并以iuplda<?>.exe命名。 (注:<?>为随机字符).
6.使用自己的 SMTP 引擎发送自身到搜索的邮件地址。它包含自己的 MIME 编码例程,并在内存中编写邮件,然后将其发送.邮件特征如下:
发信人:<下列之一>
management@<收信人域>
administration@<收信人域>
staff@<收信人域>
antivirus@<收信人域>
antispam@<收信人域>
noreply@<收信人域>
support@<收信人域>
主题:<不一定>
正文:包含不可见的HTML代码,此代码会自动下载并执行蠕虫。
此外蠕虫在发送邮件时会自动忽略一些国内外杀毒厂商。
7.在TCP端口81打开一个Web服务器。蠕虫收到特定的GET请求后,用.hta Web page(包含VB脚本)响应。
注:.hta文件请求是一个可执行文件,名字可能是sm.exe或q.exe