基本介紹
- 中文名:I-Worm/BBEagleac
- 外文名:I-Worm/BBEagleac
- 病毒類型:網路蠕蟲
- 危害等級:**
- 後門連線埠:1080
- 傳播方式:電子郵件
病毒介紹,傳播過程,
病毒介紹
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程
1.生成檔案:
%System%\sys_xp.exe
%System%\sys_xp.exeopen
%System%\sys_xp.exeopenopen 含毒zip檔案,或病毒cpl檔案
2.修改註冊表:
/刪除註冊表啟動項下鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
包含下列字元串的鍵值
"My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus AV"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"
/添加鍵值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"key" = "%System%\sys_xp.exe"
3.在感染的計算機上打開後門連線埠1080,可以用於轉發郵件。
4.自動關閉大多數常用防毒軟體和監測工具的進程。
5.將自身複製到名字中包含“shar”的資料夾中,病毒程式可能使用的名稱有:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
6.連線多個網頁腳本。
7.從下列類型的檔案中搜尋郵件地址
.adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp
.mbx .mdx .mht .mmf .msg .nch .ods .oft .php
.pl .sht .shtm .stm .tbb .txt .uin .wab .wsh
.xls .xml
利用自帶的SMTP引擎傳送郵件到上述地址,郵件特徵:
發件人:偽造地址
主題:下列之一
Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update
附屬檔案:擴展名為.exe/.scr/.com/.cpl/.zip
附屬檔案名為下列之一
Information
Details
text_document
Updates
Readme
Document
Info
MoreInfo
Message
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。