基本介紹
- 外文名:Worm.Beagle.A
- 處理時間:2004-01-19
- 影響系統:Win9x/NT/Win2000/WinXP
- 病毒類型:蠕蟲
病毒行為:
編寫工具:
彙編
傳染條件:
該蠕蟲從擴展名為:
WAB
TXT
HTM
HTML
中搜尋電子郵件地址, 然後將自身作為附屬檔案傳送到收集到的郵件地址, 不向下列信箱傳送郵件:
@hotmail.com
@msn.com
@microsoft
@avp
在1月28號後停止發作. 該蠕蟲自帶了一個smtp引擎進行傳播, 其傳送郵件的格式如下:
郵件主題: Hi
郵件內容:
Test =)
<隨機生成的一些字元>
--
Test, yep.
附屬檔案名稱: <隨機名稱>.exe
附屬檔案大小: 16K
發作條件:
1月28號後停止發作.
系統修改:
<1>拷貝檔案 %system%beagle.exe
<2>在註冊表寫入下列鍵值, 使得病毒在系統啟動時自動運行:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
d3dupdate.exe = "%System%beagle.exe"
HKEY_USERS\%SystemInfo%SoftwareMicrosoftWindowsCurrentVersionRun
d3dupdate.exe = "%System%beagle.exe"
<3>為了使病毒持續活動,在註冊表寫入下列鍵值;
HKEY_USERS\%SystemInfo%SoftwareWindows98
Uid = <隨機數值>
HKEY_USERS\%SystemInfo%SoftwareWindows98
Frun = %SystemInfo%
注: %SystemInfo%指系統信息, 如: Class ID 或用戶名等.
發作現象:
由於附屬檔案的圖示根windows自帶計算器圖示相似, 容易使用戶上當, 當用戶運行病毒後, 病毒先運行自身, 然後再運行windows自帶計算器, 因此具有一定的欺騙性. 病毒此時在後台運行搜尋郵件地址, 傳送郵件等.
特別說明:
病毒自帶了smtp引擎, 因而可以比較隨意的以匿名方式傳送郵件.