概述
I-Worm/BBEagle.o
I-Worm/BBEagle.o“雛鷹”蠕蟲病毒的最新變種,值得注意的是,此變種會感染執行檔.病毒用其自身的SMTP引擎群發電子郵件進行傳播,在TCP連線埠2556打開後門。試圖通過檔案共享軟體(如Kazza, iMesh)來傳播。它會將自身複製到名字包含"shar"字樣的資料夾中。如果發現用戶計算機已經感染了“網路天空”病毒,I-Worm/BBEagle.o會自動將之清除。
I-Worm/BBEagle的最近變種在發信傳播時,其偽造的發信人地址和收信用戶的郵件地址具有相同的域名稱,更具欺騙性。
動作
病毒一旦被執行,有如下動作:
1.複製自身分別為
%System%\winupd.exe
%System%\winupd.exeopen
%System%\winupd.exeopenopen
該病毒檔案偽裝成文本檔案圖示。
2. 在註冊表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run 下添加 "winupd.exe"="%System%\winupd.exe" 鍵值
從註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下刪除 :
9XHtProtect
Antivirus
HtProtect
ICQ Net
ICQNet
My AV
Special Firewall Service
Tiny AV
Zone Labs Client Ex
service
3.在TCP連線埠2556開一後門,黑客在此處傳送一個特定格式數據使病毒允許任意檔案下載到系統安裝目錄下,且以iuplda<?>.exe命名(注:<?>為隨機字元).
4.搜尋本地驅動器試圖感染執行檔。被感染檔案附帶蠕蟲程式。該病毒在感染每個新檔案時進行變形,使查殺難度增加。
5.病毒源碼中有針對I-Worm/NetSky的文本:
6.嘗試結束絕大多數國外防毒軟體、防火牆、常用監控程式和某些病毒進程。
7.當病毒通過Kazza, iMesh等檔案共享軟體傳播時,將自身複製到名字包含“shar”字樣的資料夾中
8. 在本地固定的驅動器下有下列擴展名的檔案中搜尋適當的郵件地址:
adb asp cfg cgi dbx dhtm eml htm jsp mbx mdx
mht mmf msg nch ods oft php pl sht shtm stm
tbb txt uin wab wsh xls xml
9.使用自己的 SMTP 引擎傳送自身到上述郵件地址。它包含自己的 MIME 編碼例程,並在記憶體中編寫郵件,然後將其傳送到搜尋到的地址. 病毒還有意忽略一些著名信息安全公司和反病毒公司的郵件地址。
10.病毒郵件特徵:
發信人:<偽造>,可能是下列地址之一:
management@<收信人域>
administration@<收信人域>
staff@<收信人域>
antivirus@<收信人域>
antispam@<收信人域>
noreply@<收信人域>
support@<收信人域>
附屬檔案:一般為.pif.zip.rar類型檔案,而且.zip和.rar檔案包含一個.exe檔案可能有密碼保護。
如果蠕蟲是一個.exe檔案,會用文本檔案方式運行。
