Worm.BBeagle.c

2008-02-23 09:24:46来源：互联网阅读 ()

病毒名称: Worm.BBeagle.c 类别：蠕虫病毒资料：病毒破坏：

一个蠕虫病毒

病毒行为：

该病毒由3个文件组成病毒程序文件,两个dll文件。病毒程序文件运行后将从体内放出两个dll文件到％system％目录下，文件分别为：doc.exe,onde.exe

之后病毒将向窗口classname为“Shell_TrayWnd”的进程(EXPlorer)注入自己放出的Doc.exe动态库。

Doc.exe的主要功能是加载onde.exe。

病毒功能主模块：Onde.exe

该模块启动后，首先装病毒文件复制到％system％目录下。文件名为：
readme.exeopen(一个zip文件),Readme.exe并在内存中保存一份复本。

在注册表中
SOFTWARE\DateTime2记录一些信息。
如：第一运行，端口号，id等...并在注册表：
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run中加入自己的键值：gouday.exe以达到随系统启动的目的。当病毒为第一次运行时将启动notepad做为伪装。

信息上传：

病毒还将把一些信息（病毒后门端口号，id等）传到一些特定的网站。

进程监控：

病毒建立一个线程不断的遍历系统进程例表，杀死一些和自己体内进程名相符的进程。
ATUPDATER.EXE，AVWUPD32.EXE，AVPUPD.EXE，
LUALL.EXE，DRWEBUPW.EXE，ICssUPPNT.EXE
ICSUPP95.EXE，UPDATE.EXE，NUPGRADE.EXE，
ATUPDATER.EXE，AUPDATE.EXE，AUTODOWN.EXE
AUTOTRACE.EXE，AUTOUPDATE.EXE，AVXQUAR.EXE，CFIAUDIT.EXE，MCUPDATE.EXE，NUPGRADE.EXE
OUTPOST.EXE，AVLTMAIN.EXE

后门：

病毒建立一个后门服务线程，该后门使用2047端口。可以执行如文件下载执行，自杀，病毒文件升级等功能。

邮件传播：

病毒搜索所有硬盘分区。从以下扩展名文件中提取email地址并向其发送带毒邮件
wab,txt,htm,Html,dbx,mdx,eml,nch,mmf,ods,

cfg,ASP,PHP,pl,adb,sht

邮件特征：

附件为："随机字符".zip

邮件带有以下之一的字串：
Price.New, Price-list,
Hardware devices price-list,
Weekly activity report
Daily activity report,Maria,
Jenny,Jessica,Registration confirmation
USA government abolishes the capital punishment,Freedom for everyone
Flayers among us,From Hair-cutter,Melissa,
Camila,Price-list,Pricelist
Price list,Hello my friend,Hi!,
Well....Greet the day,The account,
Looking for the report
You really love me? he he,
You are dismissed,Accounts department,
From me,Monthly incomings summary
The summary,Proclivity to servitude,
Ahtung!,The employee

自杀：

当前系统时间为2004年3月14日时，病毒自杀。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-2-28

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有