Worm.Beagle.A

病毒行為:

編寫工具:

彙編

傳染條件:

該蠕蟲從擴展名為:

WAB

TXT

HTM

HTML

中搜尋電子郵件地址, 然後將自身作為附屬檔案傳送到收集到的郵件地址, 不向下列信箱傳送郵件:

@hotmail.com

@msn.com

@microsoft

@avp

在1月28號後停止發作. 該蠕蟲自帶了一個smtp引擎進行傳播, 其傳送郵件的格式如下:

郵件主題: Hi

郵件內容:

Test =)

<隨機生成的一些字元>

--

Test, yep.

附屬檔案名稱: <隨機名稱>.exe

附屬檔案大小: 16K

發作條件:

1月28號後停止發作.

系統修改:

<1>拷貝檔案 %system%beagle.exe

<2>在註冊表寫入下列鍵值, 使得病毒在系統啟動時自動運行:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

d3dupdate.exe = "%System%beagle.exe"

HKEY_USERS\%SystemInfo%SoftwareMicrosoftWindowsCurrentVersionRun

d3dupdate.exe = "%System%beagle.exe"

<3>為了使病毒持續活動,在註冊表寫入下列鍵值;

HKEY_USERS\%SystemInfo%SoftwareWindows98

Uid = <隨機數值>

HKEY_USERS\%SystemInfo%SoftwareWindows98

Frun = %SystemInfo%

注: %SystemInfo%指系統信息, 如: Class ID 或用戶名等.

發作現象:

由於附屬檔案的圖示根windows自帶計算器圖示相似, 容易使用戶上當, 當用戶運行病毒後, 病毒先運行自身, 然後再運行windows自帶計算器, 因此具有一定的欺騙性. 病毒此時在後台運行搜尋郵件地址, 傳送郵件等.

特別說明:

病毒自帶了smtp引擎, 因而可以比較隨意的以匿名方式傳送郵件.