I-Worm/BBEagle.p

其傳播過程及特徵如下：

1.首先檢查系統時間，如果為2006年或其後，那么它將刪除蠕蟲在註冊表里添加的子鍵和鍵值，並結束它的所有功能。

2.在系統目錄下創建directs.exe 和directs.exeopen檔案

3.修改註冊表：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"directs.exe"="%System%\directs.exe"鍵值；

添加HKEY_CURRENT_USER\SOFTWARE\windirects子鍵；

刪除啟動項下9XHtProtect，Antivirus， HtProtect，ICQ Net，

ICQNet，My AV，NetDy ，pecial Firewall Service，

Tiny AV，Zone Labs Client Ex，service等值。

4.結束部分國外防毒軟體、防火牆、常用監控程式和某些病毒進程

5.在TCP連線埠2556開後門,如果黑客傳送特定格式數據到此,蠕蟲會允許下載任意檔案存儲到系統安裝目錄下,並以iuplda<?>.exe命名。 (注:<?>為隨機字元).

6.使用自己的 SMTP 引擎傳送自身到搜尋的郵件地址。它包含自己的 MIME 編碼例程，並在記憶體中編寫郵件，然後將其傳送.郵件特徵如下：

發信人：<下列之一>

management@<收信人域>

administration@<收信人域>

staff@<收信人域>

antivirus@<收信人域>

antispam@<收信人域>

noreply@<收信人域>

support@<收信人域>

主題：<不一定>

正文：包含不可見的HTML代碼，此代碼會自動下載並執行蠕蟲。

此外蠕蟲在傳送郵件時會自動忽略一些國內外防毒廠商。

7.在TCP連線埠81打開一個Web伺服器。蠕蟲收到特定的GET請求後，用.hta Web page（包含VB腳本）回響。

註：.hta檔案請求是一個執行檔，名字可能是sm.exe或q.exe