Worm.BBeagle(“恶鹰”)蠕虫病毒在互联网上开始以每天感染上万台电脑的速度迅速传播。该病毒主要通过邮件传播,因此在接收邮件时一定要警惕,对于主题为“HI”、内容有“Test=)”字符、附件为“.exe”的邮件不要轻易打开。
武器性能
病毒别名:
中文名称:恶鹰 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个会通过邮件发送自己的蠕虫病毒,它还能通过驱动隐藏自己在系统中的信息,
使用户无法察觉病毒的存在。
1:拷贝文件
C:Documents and SettingsfishApplication Datahidnhldrrr.exe
C:Documents and SettingsfishApplication Datahidnhidn2.exe
释放驱动
C:Documents and SettingsfishApplication Datahidnm_hook.sys
2:显示信息
病毒完成自拷贝后,会在C盘根目录下创建一个error.txt的文档,
里面写入"UTF-8 decoding error."的信息,之后会用记事本打开该文档,
再加上病毒本身的图标是一个记事本文档的图标,使用户误以为是打开了
格式错误的txt文档.
3:添加自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
drv_st_key -> C:Documents and SettingsfishApplication Datahidnhidn2.exe
使病毒能自启动
3:驱动隐藏病毒使用了系统级的HOOK,更改特定几个函数的地址,使其指向自己的驱动文件
实现隐藏自己所有的信息的目的,使病毒无法被找到
被HOOK的函数如下:
NtCreateFile
NtEnumeraterKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQueryKey
NtQuerySystemInformation
4:发邮件病毒会枚举OutLook地址本中的所有地址,并往地址上发送附带了自己本体的邮件
邮件标题为price_new, price_ , price, new ,price 的随机组合
邮件内容为
It is Protected
thank you !!!
New year (日期) s discounts
病毒还会在信里面附加一个网址,地址为
http://ujscie.***.pl/999.gif
http://1point2.***.nl/999.gif
http://apro***.com/999.gif
......(还有很多,病毒随机选一个添加)
这些地址都已经失效,很有可能是病毒的其它版本的下载地址.
之后病毒会使用网上的邮件发送引擎发送邮件,发送引擎如下:
http://vera********.com/1/eml.php
http://www.titan******.com/images/1/eml.php
http://yong*****.co.kr/1/eml.php
......
把自已加入邮件的附件中,发送到Outlook地址部上的所有地址
不发送到ser******@gmail.com
附件列表
词条内容仅供参考,如果您需要解决具体问题
(尤其在军事战略、军事时事等领域),建议您咨询相关领域专业人士。
如果您认为本词条还有待完善,请 编辑
上一篇 Win32.Troj.Dlena.mlp 下一篇 Win32.Vcing.xo