• 正在加载中...
  • 恶鹰病毒

    2004年1月19日,瑞星全球反病毒监测网在国内率先截获一个恶性蠕虫病毒,并命名为“恶鹰”。该病毒通过邮件传播,邮件主题为“HI”,邮件附件为.exe类型文件。瑞星反病毒工程师分析,恶鹰病毒会大量消耗被感染计算机的资源,同时大量发送病毒邮件,造成网络阻塞。

    编辑摘要

    基本信息 编辑信息模块

    中文名称: 恶鹰病毒

    目录

    简介/恶鹰病毒 编辑

    “恶鹰”一般是邮件主题为“HI”,邮件附件为.exe类型文件。电脑一旦中毒,网络中会大量充斥病毒发送的邮件,占用带宽,从而可能造成网络拥堵或瘫痪。用户不要随便

    恶鹰病毒恶鹰病毒

    开启来路不明的电子邮件;要养成资料备份的习惯;发现带有上述特征的电子邮件不要打开。
    Worm.BBeagle(“恶鹰”)蠕虫病毒在互联网上开始以每天感染上万台电脑的速度迅速传播。该病毒主要通过邮件传播,因此在接收邮件时一定要警惕,对于主题为“HI”、内容有“Test=)”字符、附件为“.exe”的邮件不要轻易打开。据介绍,该病毒主要通过邮件传播,病毒所携带的附件大小一
    恶鹰病毒恶鹰病毒
    般在16K左右,邮件正文为随机内容。该病毒并不会像冲击波病毒那样自动执行,而需要用户点击该邮件附件才会执行。病毒将一个名为“bbeagle.exe”的病毒文件拷贝到系统目录下,并在注册表中写入一个键值,使得用户在每次开机后病毒就会自动运行。此外,该病毒还会连接特定网站以记录被感染的用户数量。
    另外,该病毒会自动搜索特定扩展名的文件,如邮件地址簿、文本文件、网页类型文件等,从中分析并提取邮件地址,此后通过自带的发送引擎自动对外发送病毒邮件。
    该病毒还会在用户机器上建立一个后门,使病毒作者可以在被感染的电脑上执行他传来的任意程序。

    传播方法/恶鹰病毒 编辑

    该病毒将检测系统时间,当前时间为2004年1月28号之后时病毒将失去传播性。

    病毒运行后将在注册表HKCU\SOFTWARE\Windows98中的frun和uid里记录信息。FRUN(为病毒驻留标记)uid(病毒对当前系统的标识)。

    病毒将自己复制到%system%目录下。文件名为:bbeagle.exe 并在注册表HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中加入自己的键值d3dupdate.exe

    病毒将建立几个线程分别执行病毒功能:

    恶鹰病毒恶鹰病毒--hi邮件

    病毒线程1: 病毒如果在当前系统是第一次运行不会进行邮件传播,病毒将直接进入一个 Sleep 1秒的死循环动作,否则:病毒将进行邮件传播。 病毒搜索所有硬盘,并尝试在以下扩展名文件中搜索email地址并向这些地址发送带毒邮件。

    病毒搜索email地址的文件:.wab .txt .htm .html

    邮件标题为:Hi

    邮件正文为: Test=) "随机英文字符" -- Test, yep.

    邮件附件: 名字为:"随机字母.exe"的病毒文件。

    病毒线程2: 驻留内存并监听6777端口,当有联接时,病毒将把当前系统的ip地址和6777端口号发送给对方并根据传来的数据判别是否下载一个文件到%windows%目录下。(文件名为:bsupld.exe) 并以-upd为命令行启动该文件。病毒在这里还有一段根据网络传来的数据进行判断自毁的操作。很可能该功能为病毒作者预留的手动升级模块或是用来执行任意文件的后门。

    病毒线程3:以10分钟为周期做以下两个动作:

    1.自毁:测试当前系统时间是否超过2004年1月28号。如果是的话病毒将放出一个a.bat的脚本并执行。病毒进程将退出。(a.bat是用来对病毒文件进行删除的)

    2. 尝试联接以下网址:并把当前系统的标识(病毒生成的)和端口号6777传上去。

    http://www.elrasshop.de/1.php http://www.it-msc.de/1.php
    http://www.getyourfree.net/1.php http://www.dmdesign.de/1.php
    http://64.176.228.13/1.php http://www.leonzernitsky.com/1.php
    http://216.98.136.248/1.php http://216.98.134.247/1.php
    http://www.cdromca.com/1.php http://www.kunst-in-templin.de/1.php
    http://vipweb.ru/1.php http://antol-co.ru/1.php
    http://www.bags-dostavka.mags.ru/1.php http://www.5x12.ru/1.php
    http://bose-audio.net/1.php http://www.sttngdata.de/1.php
    http://wh9.tu-dresden.de/1.php http://www.micronuke.net/1.php
    http://www.stadthagen.org/1.php http://www.beasty-cars.de/1.php
    http://www.polohexe.de/1.php http://www.bino88.de/1.php
    http://www.grefrathpaenz.de/1.php http://www.bhamidy.de/1.php

    ……

    解决方案/恶鹰病毒 编辑

    1.将杀毒软件进行紧急升级。

    2.使用专杀工具。

    3.使用在线杀毒和下载版。

    4.打电话求救。
    如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!

    病毒及变种爆发回顾/恶鹰病毒 编辑

    2004年月28日前,名为“恶鹰”的恶性病毒将开始发作,它会大量“蚕食”计算机资源,同时发送大量病毒邮件,造成网络堵塞。在互联网上迅速以每天感染上万台电脑的速度传播;
    自从2004年1月19日恶鹰病毒爆发以来,7月恶鹰病毒已经出现二十多个变种。此前就有人猜测说,之所以恶鹰病毒出现如此多的变种,是因为它的源代码已经在病毒编写者聚会的地下社区公布;
    2004年8月11日,金山毒霸反病毒实验室应急处理中心率先在国内截获“恶鹰”最新变种,命名为“恶鹰变种AL”。跟据反病毒监测网的数据表示,该病毒在美国已经大面积爆发,危险度为中级;
    2004年11月18日,从好友、合作伙伴处发来的主题为“Re: Thank you!”的邮件可能是恶鹰的变种av病毒。它最大的特点是伪造发件人,躲过电子邮箱对垃圾邮件的过滤。恶鹰病毒变种已超过20多种;
    2005年1月26日开始,恶鹰病毒三变种二天时间之内借助互联网大肆传播,截至28日已造成众多用户染毒。疯狂在用户系统中查找邮件地址,并发送带毒邮件至搜索的邮件地址中。

    病毒变种介绍——恶鹰变种K/恶鹰病毒 编辑

    变种K—“恶鹰变种K(Worm.BBeagle.k)”,该病毒的特性如下:

    一、病毒评估:

    1.病毒危险等级:★★★☆
    2.病毒类型:蠕虫病毒
    3.病毒传播途径:网络/邮件
    4.病毒依赖系统:WINDOWS NT/2000/XP

    二、病毒特性:

    1.该病毒将检测系统时间,当前时间大于2005年4月25号之后时病毒会删除自己在注册表里加的启动项。并退出
    2.病毒运行时会将自己复制到%system%目录下,文件名为:winsys.exe
    3.病毒会在注册表HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入自己的键值ssate.exe。
    4.病毒会建立几个线程分别执行病毒的破坏功能:

    三、病毒破坏:

    1.发送大量病毒邮件(线程1)。
    病毒会搜索所有硬盘,并尝试在以下扩展名文件中搜索email地址并向这些地址发送带毒邮件。病毒搜索email地址的文件扩展名:

    wab txt msg htm xml dbx mdx eml nch mmf ods cfg asp php pl adb tbb sht uin cgi

    病毒邮件的内容包括以下字符串

    E-mail account security warning,Notify about using the e-mail account,Warning about your e-mail account
    Important notify about your e-mail account,Email account utilization warning
    Notify about your e-mail account utilization,E-mail account disabling warning
    Some of our clients complained about the spam (negative e-mail content)
    outgoing from your e-mail account. Probably, you have been infected by,a proxy-relay trojan server.
    In order to keep your computer safe,..follow the instructions
    For more information see the attached file,Further details can be obtained from attached file,
    Advanced details can be found in attached file,For details see the attach,For details see the attached file
    For further details see the attach..Please, read the attach for further details
    Pay attention on attached file.

    2.发送大量的病毒邮件(线程1)。
    病毒运行时将会从以下扩展名:.xls,.jpg,.avi,.wma,.mp4,.mp3,.wav,.wab,.mht,.adb,.tbb,.uin  .rtf.,dbx,.eml,.mmf,.nch,.mbx,.asp,.pl,.sht,.php.的文件中搜索有效的email地址(病毒将避开.edu结尾的email地址),并向这些地址发送病毒邮件。

    3.感染目录(线程1)。
    当病毒发现搜索的目录名中包含字串“shar”时会把自己的复本复制过去文件名为以下之一:

    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Office XP working Crack, Keygen.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Porno Screensaver.scr.Porno, sex, oral, anal cool, awesome!!.exe
    Porno pics arhive, xxx.exe
    Serials.txt.exe
    Windown Longhorn Beta Leak.exe
    Windows Sourcecode update.doc.exe
    XXX hardcore images.exe
    Opera 8 New!.exe.WinAmp 5 Pro Keygen Crack Update.exe
    WinAmp 6 New!.exe
    Matrix 3 Revolution English Subtitles.exe
    Adobe Photoshop 9 full.exe
    Ahead Nero 7.exe
    ACDSee 9.exe

    4.监听端口(线程2)。
    病毒运行时会驻留内存并监听2745端口,当有联接时,根据传来的数据判别是否下载一个文件到%windows%目录下启动,从特定网站下载文件,自毁等操作。

    5.结束进程。
    病毒会结束有以下名称的内存进程:

    ATUPDATER.EXE AVWUPD32.EXE AVPUPD.EXE LUALL.EXE DRWEBUPW.EXE
    ICSSUPPNT.EXE ICSUPP95.EXE UPDATE.EXE NUPGRADE.EXE ATUPDATER.EXE
    AUPDATE.EXE AUTODOWN.EXE AVXQUAR.EXE CFIAUDIT.EXE MCUPDATE.EXE
    AUTOTRACE.EXE AUTOUPDATE.EXE OUTPOST.EXE AVLTMAIN.EXE NUPGRADE.EXE

    6.联接网站。
    病毒会尝试联接以下网址,并把一些信息,如端口号2745传上去。

    http:/***/www.gfotxt.net/scr.php
    http:/***/www.maiklibis.de/scr.php
    http:/***/postertog.de/scr.php

    病毒变种介绍——恶鹰变种Q/恶鹰病毒 编辑

    该病毒进行PE文件感染,以加强传播能力,由于该病毒在感染时用自身的加密变形引擎。具有很强的隐蔽性。

    一、病毒评估

    恶鹰病毒恶鹰病毒

    1.病毒中文名:恶鹰变种Q
    2.病毒英文名:Worm.Bbeagle.q
    3.病毒大小:26,557字节
    4.病毒类型:蠕虫病毒
    5.病毒危险等级:★★★★
    6.病毒传播途径:网络,文件感染
    7.病毒依赖系统:Windows 9X/NT/2000/XP

    二、病毒的破坏

    病毒建立两个服务线程分别监听81和2556端口,给系统留后门,并驻留内存不断对磁盘进行遍历,进行邮件传播,文件感染,大大降低系统性能。

    三、病毒报告

    UPX压缩,VC++6.0编写,蠕虫。一旦执行,病毒将自我复制到系统文件夹.
    文件名为:direct.exe及direct.exeopen

    它将创建下列注册表键值来使自己随Windows系统自启动:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    " direct.exe "="%SYSDIR%\ direct.exe"

    病毒将删除一些注册表键值:

    HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    下的以下键:
    My AV Zone Labs Client Ex 9XhtProtect, Antivirus Special Firewall Service serviceTiny AV
    ICQNet HtProtect NetDy ICQ Net

    监视:
    病毒建立一个线程,对系统进行监控。杀死进程名和体内“黑名单”中相符的进程。
    以下是病毒体内的进程“黑名单”

    cmgrdian.exe CMON016.EXE CPF9X206.EXE CPFNT206.EXE
    CWNB181.EXE CWNTDWMO.EXE FP-WIN_TRIAL.EXE FSAV.EXE
    ICLOAD95.EXE  ICLOADNT.EXE HACKTRACERSETUP.EXE KAVLITE40ENG.EXE
    AUPDATE.EXE HWPE.EXE …………

    邮件,PE文件传播:
    病毒遍历系统磁盘,当发现扩展名为

    .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx
    .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb
    .tbb .sht .xls .oft .uin .cgi .mht .dhtm .jsp

    时病毒将打开该文件并尝试从中提取email地址并向该地址发送带毒邮件。
     当扩扩展名为:.exe的病毒将尝试对其进行文件感染。
    在遍历过程中,当目录名存在“shar”字串时,病毒将自己复制到该目录下,文件名为:

    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Microsoft Office XP working Crack, Keygen.exe
    Porno, sex, oral, anal cool, awesome!!.exe
    Porno Screensaver.scr, Serials.txt.exe
    Porno pics arhive, xxx.exe
    Windows Sourcecode update.doc.exe
    Ahead Nero 7.exe
    Windown Longhorn Beta Leak.exe
    Opera 8 New!.exe
    XXX hardcore images.exe
    WinAmp 6 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    Adobe Photoshop 9 full.exe
    Matrix 3 Revolution English Subtitles.exe
    …………

    邮件特征:
    包含以下字串:

    RE: Text message Re: Document Incoming message
    Re: Incoming Message RE: Protected message Forum notify
    Site changes Encrypted document Re: Hi,E-mail warning
    Notify about your e-mail account utilization.
    Notify from e-mail technical support

    附件为一个:加了密的zip文件(病毒)
    邮件还将附上zip文件的密码(一个病毒生成的bmp图)

    后门线程:
    病毒监听81端口接,向联接上来的客户端送脚本。

    病毒监听:
    监听2556端口接受一些客户端传来的特定命令

    注:病毒将在2005年12月31日以后失去传播能力,病毒将自我删除。

    病毒变种介绍——恶鹰变种AO/恶鹰病毒 编辑

    此变种病毒使用32位汇编编写, 传播力很强,瑞星全球反病毒监测网监测到的由该病毒发送的病毒邮件数有大幅增加。病毒会搜索硬盘中的有效邮件地址,然后利用自己的SMTP邮件发送引擎,向外发送大量带毒邮件,会严重消耗网络资源,造成网络阻塞。

    一、病毒评估

    恶鹰病毒恶鹰病毒

    1.病毒中文名:恶鹰变种AO
    2.病毒英文名:Worm.BBeagle.ao
    3.病毒类型:蠕虫病毒
    4.病毒危险等级:★★★★
    5.病毒传播途径:网络/邮件
    6.病毒依赖系统:WINDOWS9X/NT/2000/XP

    二、病毒破坏

    1.发送大量病毒邮件
    大量散发病毒邮件,传染速度极快,造成网络阻塞。
    2. 给系统开设后门
    监听TCP 端口 1080,给系统开设后门。

    三、技术分析

    一旦执行,病毒将执行以下操作:

    1. 病毒将创建多个互斥量

    MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
    'D'r'o'p'p'e'd'S'k'y'N'e't'
    _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
    [SkyNet.cz]SystemsMutex
    AdmSkynetJklS003
    ____--->>>>U<<<<--____
    _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

    这些互斥量是其前一些版本创建的,病毒利用此来禁止其它变种的运行

    2. 病毒将删除键:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    下的如下键值:
    "My AV" "Zone Labs Client Ex" "9XHtProtect" "Antivirus" "Special Firewall Service"
    "service" "EasyAV" "Jammer2nd" "HtProtect" "PandaAVEngine"
    "Tiny AV" "KasperskyAVEng" "FirewallSvr" "NetDy" "Norton Antivirus AV"
    "ICQNet" "SkynetsRevenge" "SysMonXP" "MsInfo"

    使以上软件不能正常运行。

    3. 病毒释放如下文件:
    %SYSDIR%\sysxp.exe       --病毒本身
    %SYSDIR%\sysxp.exeopen   --病毒尾部附加随机数据

    4. 病毒向注册表添加如下键值,来实现开机自启动:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "key" = "%SYSDIR%\sysxp.exe"

    5. 病毒将试图复制到带有字符串:"shar"的目录下,文件名可能为:

    Microsoft Office 2003 Crack, Working!.exe Porno Screensaver.scr
    Microsoft Windows XP, WinXP Crack, working Keygen.exe Serials.txt.exe
    Microsoft Office XP working Crack, Keygen.exe KAV 5.0
    Porno, sex, oral, anal cool, awesome!!.exe Kaspersky Antivirus 5.0
    Windows Sourcecode update.doc.exe Porno pics arhive, xxx.exe
    Windown Longhorn Beta Leak.exe Ahead Nero 7.exe
    XXX hardcore images.exe Opera 8 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe
    Matrix 3 Revolution English Subtitles.exe Adobe Photoshop 9 full.exe
    ACDSee 9.exe

    6. 病毒将从如下扩展名的文件中搜索EMAIL地址:

    .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .eml .nch .mdx .uin .mht .jsp
    .mmf .ods .cfg .asp .php .pl .wsh .adb .tbb .sht .xls .oft .cgi .dhtm

    7.病毒将使用自己的 SMTP 引擎来发送EMAIL到上面搜到的EMAIL地址,EMAIL特征如下:发送邮件地址:

    主题可能为:

    Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! Re: Thanks :)
    RE: Text message Re: Document Incoming message Re: Incoming Message Changes
    RE: Incoming Msg Notification Update RE: Message Notify

    附件名扩展名可能为:
    .exe .scr .com .cpl .zip

    8.判断如果日期大于为2006年5月5日,病毒将退出并删除注册表自启动键值。
    9.终止多种杀毒软件的进程。
    10.试图从预定的网站下载PHP文件。
    11.监听TCP端口1080,给系统开设后门。

    其他病毒变种简要介绍/恶鹰病毒 编辑

    该家族的病毒无一例外地利用电子邮件疯狂的发送带毒邮件。而且包含一个后门程序,监听指定的TCP端口,等待黑客的链接。大量的病毒垃圾邮件造成邮件服务负重过大,使其极不稳定,甚至造成瘫痪,严重影响工作。病毒在系统中留下的后门,更加大了系统的隐患,降低了系统的完全性。如果别有用心的人通过病毒留下的后门安装用于盗窃密码的木马的话,将会对网络用户造成的经济上的损失。

    恶鹰变种B(Worm.Bbeagle)

    恶鹰病毒恶鹰病毒

    该病毒的不同之处是自杀日期定于 2004年2月25日。采用计算器Windows的录音机的图标,即黄色的小喇叭

    恶鹰变种C( Worm.BBeagle.c)

    该病毒的自杀日期定于 2004年3月14日。采用绿色的Excel文档图标,名称为“readme.exe”,除此之外,病毒还在这个版本中进行了大刀阔斧地改进,改进如下:

    1.改进了驻留系统的方式。事实上,前两个版本的病毒在向外发信时,可以被所有的防火墙拦截下来。谨慎的用户可以察觉,并向反病毒公司反映。从这个版本起,病毒直接杀入系统进程中。这样,开辟后门、发送邮件和其他网络连接以系统程序的名誉进行。防火墙有时也抓住。但是,用户一看,发信程序是系统的,也大都将信将疑地放行了!

    2.病毒主动攻击,终止几十种流行反病毒软件。

    3. 扩大搜索范围,加快传播速度。病毒运行时会搜索下列后缀的文件:

    wab txt htm html dbx mdx eml nch mmf ods cfg asp php pl adb sht

    4.  将发信人伪装成:postmaster@ 、root@,将邮件标题伪装成:“New Price-list”、 “Proclivity to servitude”、“You are dismissed”等字样。

    恶鹰变种D(Worm.BBeagle.C)

    该病毒基本类似“恶鹰变种C”,只是将自杀日期改成:2004年3月14日

    恶鹰变种E(Worm.BBeagle.E)

     基本类似恶鹰变种D病毒,将自杀日期变为:2004年3月25日,另外,病毒会将邮件正文伪装成下列字眼:“Everything inside the attach”、“Look it through”。

    恶鹰变种F(Worm.BBeagle.f)

    该病毒的自杀日期也是 2004年3月25日,但是,从这个版本开始,病毒采用了新的迷惑手段。

    1. 采用Windows XP 标准文件夹图标。

    搜索具有“shar”字眼的文件夹,把自身拷贝17份过去,分别以最流行的应用程序命名。如:“Microsoft Office 2003 Crack, Working!.exe ”、“WinAmp 6 New!.exe” 、“Adobe Photoshop 9 full.exe”、“ACDSee 9.exe”,由于病毒看上去是个文件夹,几乎人见人“点”。在学校公司共享资源的局域网内传播非常迅速。

    2. 放弃把病毒exe文件作为附件的老套做法,不辞辛苦地改造病毒附件为压缩文件,还煞有介事的加上密码。在邮件正文给出来,“password for archive”、“archive password:”、“password:”,密码随机。事实上,如果病毒不加密码,能力强的反病毒软件通过查杀“未知邮件”的方式查杀病毒。即使用户不升级,病毒的变种照样被查杀;有经验的用户看到附件是exescrpif文件,顿时会提高警惕性。病毒作者可能意识到了这两点,干脆把附件加密,反而不像病毒了,以此躲过灭门之灾。

    3. 病毒体内保留了若干份邮件正文的模版。根据邮件地址中包含的服务器名称,发出的信件很正式,很不像带毒邮件。

    如下所示:

    Dear  user, the management  of 163.com mailing  system wants to let you know that,Our antivirus  software has detected a large ammount of  viruses  outgoing from your  email account, you  may  use our free  anti-virus tool to clean up your computer software.
    Please, read the attach for further details.
    For security reasons attached file is password protected. The password is  "50230".

    Kind regards,
        The 163.com team                      http://www.163.com

    后来的变种

    前面的变种写的很成功,病毒作者狂出新变种,但后来的:Worm.BBeagle.g 、Worm.BBeagle.h 、Worm.BBeagle.i、Worm.BBeagle.j、Worm.BBeagle.k、Worm.BBeagle.l基本上类似Worm.BBeagle.f ,自杀日期也是 2004年3月25日。

    相关报道/恶鹰病毒 编辑

    “恶鹰”病毒迅速泛滥 一天感染上万台电脑

    2003年1月19日,瑞星全球反病毒监测网在国内率先截获一个恶性蠕虫病毒,并命名为“恶鹰”。该病毒通过邮件传播,邮件主题为“HI”,邮件附件为.exe类型文件。瑞星反病毒工程师分析,恶鹰病毒会大量消耗被感染计算机的资源,同时大量发送病毒邮件,造成网络阻塞。

    据瑞星技术服务部门监测,2003年1月19日该病毒已经在国内感染了上万台电脑,并正在迅速传播中。

    恶鹰病毒恶鹰病毒专杀

    瑞星反病毒工程师提醒广大用户,在接收电子邮件的过程中,应提高警惕,不要轻易打开陌生邮件的附件。并随时关注瑞星网站的升级消息。

    通过进一步分析得知,该病毒主要通过邮件传播,病毒所携带的附件大小一般在16K左右,邮件正文为随机内容。该病毒并不会像冲击波病毒那样自动执行,而需要用户点击该邮件附件才会执行。病毒将一个名为“bbeagle.exe”的病毒文件拷贝到系统目录下,并在注册表中写入一个键值,使得用户在每次开机后病毒就会自动运行。此外,该病毒还会连接特定网站以记录被感染的用户数量。

    在该病毒传播前,首先会搜索特定扩展名的文件,如邮件地址簿文件,文本文件,网页类型文件等,从中分析提取邮件地址找到传播途径,此后通过自带的发送引擎自动对外发送病毒邮件。

    该病毒还会在用户机器上建立一个后门,在6777端口上监听,使病毒作者可以在你机上执行他传来的任意程序。

    此外,该病毒在发作时间上受到了一些限制,病毒发作前首先会检测用户计算机的系统时间,如果系统时间现实为2004年1月28日以前运行,则该病毒就会发作并感染,2004年1月28日以后不再启动,但是如果在2004年1月28日以前一直运行的话,它是不会自动退出的。

    该病毒感染windows98/Me/2000/XP/2003系统。由于此病毒在感染时短时间内会大量发送带毒邮件,会对网络带宽造成一定的影响。同时该病毒还会搜索用户的硬盘文件,会严重消耗系统系统资源,使得计算机运行速度变慢。

    3个BBeagle变种病毒扑向IE 无须打开附件也可传播

    BBeagle病毒于2004年3月对互联网实施了新一轮的闪电战,它利用了一个已经公布5个月之久的漏洞,无须引诱用户打开附件文件就能够感染系统。

    安全专家称,最新BBeagle变种的不同之处在于,它能够在不使用附件文件的情况下感染没有安装补丁软件的系统。如果没有安装修正IE中对象数据远程执行缺陷的补丁软件的计算机收到携带有该病毒的电子邮件,仅仅打开或浏览该电子邮件的Outlook和Outlook Express用户就可能中招儿。

    iDefense公司恶意代码调研主管敦哈姆表示,最新一轮的BBeagle攻击波显示,BBeagle病毒的作者已经改变了传播病毒的方法,开始利用IE中的自动执行功能。

    与BBeagle.q一样,BBeagle.r、BBeagle.s和BBeagle.t也能够瘫痪许多反病毒软件和防火墙软件,这已经成为黑客试图击穿计算机防御系统的常用方法。它们还能够打开打开的一些端口,使系统能够被二次感染,黑客能够在被感染的系统上运行其它恶意代码

    相关下载/恶鹰病毒 编辑

    瑞星恶鹰病毒专杀工具  http://it.rising.com.cn/service/technology/RavBBeagle_Download.htm

    金山恶鹰病毒专杀工具  http://zhuansha.duba.net/104.shtml

    添加视频 | 添加图册相关影像

    互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于www.baike.com。

    登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和专业认证智愿者沟通。

    互动百科用户登录注册
    此词条还可添加  信息模块

    WIKI热度

    1. 编辑次数:10次 历史版本
    2. 参与编辑人数:8
    3. 最近更新时间:2017-03-28 04:49:04