Worm_Bagle.Be

病毒名稱： Worm_Bagle.Be

病毒類型： 蠕蟲

感染系統：Windows 95/98/Me/NT/2000/XP

病毒長度：34,304 Bytes

1、生成病毒檔案

病毒運行後，在%System%資料夾下生成名為WIWSHOST.EXE和其自身拷貝WINSHOST.EXE。其中檔案WIWSHOST.EXE會自身釋放檔案WINSHOST.EXE到系統目錄下，並將WINSHOST.EXE插入到EXPLORER.EXE進程中。（其中，%System%在Windows 95/98/Me 下為C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows XP下為 C:\Windows\System32）。

2、修改註冊表項

病毒添加註冊表項，使得自身能夠在系統啟動時自動運行，在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run添加

winshost.exe ="%System%\winshost.exe"

和在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加

winshost.exe = "%System%\winshost.exe"

(其中，%System%在Windows 95/98/Me 下為C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows XP下為 C:\Windows\System32)

3、通過電子郵件進行傳播

病毒通過電子郵件進行傳播，病毒郵件附屬檔案是a.zip壓縮檔案，計算機用戶點擊就會感染計算機系統。

4、中止套用進程

該病毒會在被感染的系統中中止一些反病毒軟體和安全的套用進程

5、刪除註冊表鍵值

該病毒會釋放檔案WIWSHOST.EXE刪除註冊表項

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的一些鍵值。

該病毒還會刪除註冊表項

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的鍵值Zone Labs Client。

6、後門程式

該病毒具有後門功能，打開並監聽tcp連線埠80，允許惡意用戶用特定密碼登入並控制受感染的系統。該病毒還會通過編輯系統中的HOSTS檔案來阻止計算機用戶訪問一些反病毒網站，還會使受感染的機器從指定的資源伺服器上主動下載並執行病毒檔案。