I-Worm/BBEagle.ab

I-Worm/BBEagle.ab

病毒类型：网络蠕虫

病毒大小：变长

传播方式：网络

危害等级：★★★

I-Worm/BBEagle.ab在感染计算机上搜索电子邮件地址，利用其自带的SMTP引擎通过发送电子邮件传播。也可以通过文件共享网络传播。带毒电子邮件的主题、内容和附件名称随机变化。病毒在被感染计算机上打开后门端口1080。

具体技术特征如下：

1. 在感染计算机上释放下列文件：

%System%sysxp.exe，病毒程序

%System%sysxp.exeopen，病毒程序

%System%sysxp.exeopenopen，含毒zip文件，或病毒cpl文件

%System%sysxp.exeopenopenopen，图片文件

2.在注册表启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下创建：

"key"="%System%sysxp.exe"

这样，病毒在Windows启动时就得以运行。

3.创建若干与“网络天空”病毒变种同名的互斥体，并从注册表中删除“网络天空”病毒加入的启动项。从而使若干“网络天空”变种在感染I-Worm/BBEagle.ab的计算机上无法运行。

4.监听TCP后门端口1080，可以允许黑客非法访问被感染的计算机。

5.自动关闭大多数常用杀毒软件和监测工具的进程。

6.将自身复制到名字中包含“shar”的文件夹中，病毒程序可能使用的名称有：

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

7.会连接多个网页脚本。

8. 2005年1月25日后，病毒将自杀。

9.病毒邮件特征：

发信人：<伪造>

标题：可能为下列之一

Re: Msg reply

Re: Hello

Re: Yahoo!

Re: Thank you!

Re: Thanks :)

RE: Text message

Re: Document

Incoming message

Re: Incoming Message

RE: Incoming Msg

RE: Message Notify

Notification

Changes..

Update

Fax Message

Protected message

RE: Protected message

Forum notify

Site changes

Re: Hi

Encrypted document

正文：如果附件是.zip文件，邮件正文可能是下列之一；如果附件不是.zip，正文为空。

For security reasons attached file is password protected. The password is

For security purposes the attached file is password protected. Password --

Note: Use password

Attached file is protected with the password for security reasons. Password is

In order to read the attach you have to use the following password:

Archive password:

Password

Password:

附件就是病毒程序。