Worm.BBeagle.bg

病毒名称:

Worm.BBeagle.bg

类别： 蠕虫病毒

病毒资料：

破坏方法：

病毒“恶鹰”新变种

病毒运行后，将自己复制到％system％目录下，文件名为：wingo.exe并在注册表

HKCU\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run

中加入自己的键值

wingo=％system％\wingo.exe以达到自启动的目的。

1.病毒将创建多个互斥量：

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D'r'o'p'p'e'd'S'k'y'N'e't'

_-oOaxX-+S+-+k+-+y+-+N+-+e+-+t+-XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____---U

_-oO]xX-S-k-y-N-e-t-Xx[Oo-_

这些互斥量是其前一些版本创建的，病毒利用此来禁止其它变种的运行

2.病毒还将杀死进程例表中以下进程

mcagent.exe

mcvsshld.exe

mcshield.exe

mcvsescn.exe

mcvsrte.exe

DefWatch.exe

Rtvscan.exe

ccEvtMgr.exe

NISUM.EXE

ccPxySvc.exe

navapsvc.exe

NPROTECT.EXE

nopdb.exe

ccApp.exe

Avsynmgr.exe

VsStat.exe

Vshwin32.exe

alogserv.exe

RuLaunch.exe

Avconsol.exe

PavFires.exe

FIREWALL.EXE

ATUPDATER.EXE

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICssUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE

pavsrv50.exe

AVENGINE.EXE

APVXDWIN.EXE

pavProxy.exe

navapw32.exe

navapsvc.exe

ccProxy.exe

navapsvc.exe

NPROTECT.EXE

SAVScan.exe

SNDSrvc.exe

symlcsvc.exe

LUCOMS~1.EXE

blackd.exe

bawindo.exe

FrameworkService.exe

VsTskMgr.exe

SHSTAT.EXE

UpdaterUI.exe

3.病毒将删除键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

下的如下键值：

My AV

Zone Labs Client Ex

9XHtProtect

Antivirus

Special Firewall Service

service

Tiny AV

ICQNet

HtProtect

NetDy

Jammer2nd

FirewallSvr

MsInfo

SysMonXP

EasyAV

PandaAVEngine

Norton Antivirus AV

KASPerskyAVEng

SkynetsRevenge

ICQ Net

4.病毒释放如下文件：

％SYSDIR％\wingo.exe. --病毒本身

％SYSDIR％\wingo.exeopen --病毒尾部附加随机数据

删除：

％SYSDIR％\re_file.exe

5.病毒将试图复制到带有字符串："shar"的目录下，文件名可能为：

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack,

working Keygen.exe

Microsoft Office XP working Crack,

Keygen.exe Porno, sex, oral, anal cool,

awesome!!.exe Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAMP 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 fu忖.exe

Matrix 3 Revolution English SuBTitles.exe

ACDSee 9.exe

6.病毒将从如下扩展名的文件中搜索EMAIL地址：

.wab

.txt

.msg

.htm

.shtm

.stm

.XML

.dbx

.mbx

.mdx

.eml

.nch

.mmf

.ods

.cfg

.asp

.PHP

.pl

.wsh

.adb

.tbb

.sht

.xls

.oft

.uin

.cgi

.mht

.dhtm

.jsp

病毒将使用自己的 SMTP 引擎来发送EMAIL到上面搜到的EMAIL地址，EMAIL特征如下：

发送邮件地址:

主题:

Re:

Re: Hello

Re: Thank you!

Re: Thanks :)

Re: Hi

附件名 ：

Price

price

Joke

附件名扩展名：

.exe

.scr

.com

.cpl

7.病毒将不会发送到包含如下字眼的邮件地址：

@hotmail

@MSN

@microsoft

rating@

f-secur

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-10-31