I-Worm/BBEagle.m用其自身的SMTP引擎群發電子郵件進行傳播,在TCP連線埠2556打開後門,同時試圖通過檔案共享來傳播,它會將自身複製到名字包含shar字樣的資料夾中·
基本介紹
- 外文名:I-Worm/BBEagle.m
- 傳播方式:檔案共享,電子郵件
- 類型:蠕蟲
- 特徵:.exe檔案
運行過程
1.生成下列檔案:
%System%\winupd.exe
%System%\winupd.exeopen
%System%\winupd.exeopenopen
%System%\winupd.exeopenopenopen
註:%System%一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), or
C:\Windows\System32 (Windows XP)
2.在註冊表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加 "winupd.exe"="%System%\winupd.exe" 鍵值
4.在連線埠2556打開一後門,允許攻擊者傳送信息,並下載檔案到%Windir%下,檔案名稱為%Windir%\iuplda<x>.exe (註:<x>為任意隨機字元)
5.為了通過網路已分享檔案傳播,就象KaZaA 和 iMesh,病毒以它們的名字把自己放置到包含"shar"字元串的目錄下.
6.搜尋本地驅動器試圖感染執行檔,被感染檔案附帶蠕蟲程式。該病毒在感染每個新檔案時進行變形,使查殺難度增加。
7.在本地固定的驅動器下有下列擴展名的檔案中搜尋適當的郵件地址:
adb asp cfg cgi dbx dhtm eml htm
jsp mbx mdx mht mmf msg nch
ods oft php pl sht shtm stm tbb
txt uin wab wsh xls xml
8.使用自己的 SMTP 引擎傳送自身到上述郵件地址。它包含自己的 MIME 編碼例程,並在記憶體中編寫郵件,然後將其傳送到上述所有地址.
此郵件有如下特徵:
發件人:<可能下列之一>
management@<收信人域>
administration@<收信人域>
staff@<收信人域>
noreply@<收信人域>
support@<收信人域>
附屬檔案:如下檔案名稱,一般為.pif .zip .rar類型檔案,而且.zip和.rar檔案包含一個.exe檔案可能有密碼保護。
Attach Details Document Encrypted Gift
Info Information Message MoreInfo
Readme Text TextDocument details
first_part pub_document text_document
如果蠕蟲是一個.exe檔案,會使用下列圖示顯示並運行。
9.病毒會避免向著名信息安全公司和反病毒公司的郵件地址傳送信息.
