迅速感染恶性蠕虫“恶鹰”病毒详细技术资料[1]

病毒别名: I-Worm.Bagle [Kaspersky], WORM_BAGLE.A [Trend], W32.Beagle.A@mm [symantec]
病毒类型: 蠕虫
受影响系统: Win9x/NT/Win2000/WinXP
威胁级别: 中
能处理的毒霸版本: 2004.01.19
编写工具: 汇编
传染条件:
该蠕虫从扩展名为: WAB; TXT; HTM; HTML
中搜索电子邮件地址, 然后将自身作为附件发送到收集到的邮件地址, 不向下列邮箱发送邮件:
@hotmail.com; @msn.com; @microsoft; @avp
在1月28号后停止发作. 该蠕虫自带了一个smtp引擎进行传播, 其发送邮件的格式如下:
邮件主题: Hi

邮件内容:
　　Test =)
　　<随机生成的一些字符>
　　--
　　Test, yep.

附件名称: <随机名称>.exe
附件大小: 16K

发作条件:
1月28号后停止发作.

系统修改:
　　<1>拷贝文件 %system%\bbeagle.exe
　　<2>在注册表写入下列键值, 使得病毒在系统启动时自动运行:
　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　　d3dupdate.exe = "%System%\bbeagle.exe"

　　　HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
　　　d3dupdate.exe = "%System%\bbeagle.exe"
　　<3>为了使病毒持续活动,在注册表写入下列键值;
　　　HKEY_USERS\%SystemInfo%\Software\Windows98
　　　Uid = <随机数值>

　　　HKEY_USERS\%SystemInfo%\Software\Windows98
　　　Frun = %SystemInfo%

　　　注: %SystemInfo%指系统信息, 如: Class ID 或用户名等.

发作现象:
　　由于附件的图标根windows自带计算器图标相似, 容易使用户上当, 当用户运行病毒后, 病毒先运行自身, 然后再运行windows自带计算器, 因此具有一定的欺骗性. 病毒此时在后台运行搜索邮件地址, 发送邮件等.

特别说明:
　　病毒自带了smtp引擎, 因而可以比较随意的以匿名方式发送邮件.
　　该病毒会在用户机器上建立一个后门，监听6777端口，使攻击者可以在用户机上执行他传来的任意程序。

其他细节:
　　病毒为了更新会尝试连接下面的网站:

　　http://www.elrahop.de/1.php
　　http://www.itmsc.de/1.php
　　http://www.getorfree.net/1.php
　　http://www.dmsign.de/1.php
　　http://64.1.228.13/1.php
　　http://www.leonzenitsky.com/1.php
　　http://216.98.6.248/1.php
　　http://216.98.4.247/1.php
　　http://www.cdroma.com/1.php
　　http://www.kunstin-templin.de/1.php
　　http://vipwe.ru/1.php
　　http://antolco.ru/1.php
　　http://www.bagsdostavka.mags.ru/1.php
　　http://www.512.ru/1.php
　　http://boseaudio.net/1.php
　　http://www.stngdata.de/1.php
　　http://wh9.tudresden.de/1.php
　　http://www.mionuke.net/1.php
　　http://www.stahagen.org/1.php
　　http://www.beastycars.de/1.php
　　http://www.poloexe.de/1.php
　　http://www.bi88.de/1.php
　　http://www.grefathpaenz.de/1.php
　　http://www.bhaidy.de/1.php
　　http://www.mystivws.de/1.php
　　http://www.autohobby-essen.de/1.php
　　http://www.pozicke.de/1.php
　　http://www.twrmusic.de/1.php
　　http://www.scerbendorf.de/1.php
　　http://www.montia.de/1.php
　　http://www.medmartin.de/1.php
　　http://vvgn.de/1.php
　　http://www.ballonoto.com/1.php
　　http://www.mardergmbh.de/1.php
　　http://www.dvdfilme.com/1.php
　　http://www.seangol.com/1.php
　　病毒为了获得远程连接, 它会对端口进行扫描.

解决方案:
　　1>升级毒霸病毒库到最新, 进行全盘查杀即可.
　　2>手工清除:
　　　<1>终止恶意程序:
　　　打开windows任务管理器.
　　　在windows95/98/ME系统中, 按CTRL+ALT+DELETE
　　　在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
　　　在运行程序列表中, 找到进程:
　　　bbeagle.exe
　　　选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本).
　　　为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
　　　关掉任务管理器.