Worm.Beagle.wo是一個會通過郵件傳送自己的蠕蟲病毒,它還能通過驅動隱藏自己在系統中的信息,使用戶無法察覺病毒的存在。
基本介紹
- 中文名:惡鷹
- 外文名:Worm.Beagle.wo
- 處理時間:2006-12-25
- 威脅級別:★
基本信息,病毒行為,
基本信息
病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1:拷貝檔案
C:\Documents and Settings\fish\Application Data\hidn\hldrrr.exe
C:\Documents and Settings\fish\Application Data\hidn\hidn2.exe
釋放驅動
C:\Documents and Settings\fish\Application Data\hidn\m_hook.sys
2:顯示信息
病毒完成自拷貝後,會在C糟根目錄下創建一個error.txt的文檔,
裡面寫入"UTF-8 decoding error."的信息,之後會用記事本打開該文檔,
再加上病毒本身的圖示是一個記事本文檔的圖示,使用戶誤以為是打開了
格式錯誤的txt文檔.
3:添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key -> C:\Documents and Settings\fish\Application Data\hidn\hidn2.exe
使病毒能自啟動
3:驅動隱藏
病毒使用了系統級的HOOK,更改特定幾個函式的地址,使其指向自己的驅動檔案
實現隱藏自己所有的信息的目的,使病毒無法被找到
被HOOK的函式如下:
NtCreateFile
NtEnumeraterKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQueryKey
NtQuerySystemInformation
4:發郵件
病毒會枚舉OutLook地址本中的所有地址,並往地址上傳送附帶了自己本體的郵件
郵件標題為price_new, price_ , price, new ,price 的隨機組合
郵件內容為
It is Protected
thank you !!!
New year (日期) 's discounts
病毒還會在信裡面附加一個網址,地址為
http://ujscie.***.pl/999.gif
http://1point2.***.nl/999.gif
http://apro***.com/999.gif
......(還有很多,病毒隨機選一個添加)
這些地址都已經失效,很有可能是病毒的其它版本的下載地址.
之後病毒會使用網上的郵件傳送引擎傳送郵件,傳送引擎如下:
......
把自己加入郵件的附屬檔案中,傳送到Outlook地址部上的所有地址
不傳送到ser******@gmail.com
