江民公布I-Worm/BBEagle.ar技术分析报告

　　2004年9月29日，江民反病毒中心截获“雏鹰”病毒最新变种I-Worm/BBEagle.ar。该病毒在感染计算机上搜索电子邮件地址，利用其自带的SMTP引擎通过发送电子邮件传播。也可以通过文件共享网络传播。病毒还会在被感染计算机上打开后门端口。

　　以下为病毒技术分析报告：

　　病毒类型：网络蠕虫

　　病毒大小：20K

　　传播方式：网络

　　危害等级：★★★

　　具体技术特征如下：

　　1. 病毒运行后，将创建下列文件：

　　%SystemDir%\bawindo.exe, 病毒本身

　　%SystemDir%\bawindo.exeopen, 病毒本身

　　%SystemDir%\bawindo.exeopenopen, 病毒释放程序，可以释放I-Worm/BBEagle.ar并执行

　　2. 在注册表中添加下列启动项：

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"bawindo" = %SystemDir%\bawindo.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　3.结束多种杀毒软件的进程

　　4.尝试从多个网站下载并运行病毒程序。

　　5.创建若干I-Worm/Netsky变种使用的互斥体，从而使若干“网络天空”变种在感染I-Worm/BBEagle.ar的计算机上无法运行。

　　6.将自身复制到名字中包含“shar”的文件夹中，病毒程序可能使用的名称有：

　　Microsoft Office 2003 Crack, Working!.exe

　　Microsoft Windows XP, WinXP Crack, working Keygen.exe

　　Microsoft Office XP working Crack, Keygen.exe

　　Porno, sex, oral, anal cool, awesome!!.exe

　　Porno Screensaver.scr

　　Serials.txt.exe

　　KAV 5.0

　　Kaspersky Antivirus 5.0

　　Porno pics arhive, xxx.exe

　　Windows Sourcecode update.doc.exe

　　Ahead Nero 7.exe

　　Windown Longhorn Beta Leak.exe

　　Opera 8 New!.exe

　　XXX hardcore images.exe

　　WinAmp 6 New!.exe

　　WinAmp 5 Pro Keygen Crack Update.exe

　　Adobe Photoshop 9 full.exe

　　Matrix 3 Revolution English Subtitles.exe

　　ACDSee 9.exe

　　7.打开后门端口TCP 81和UDP 81，给黑客以可乘之机。

　　8.从本地磁盘搜索合法email地址，并向这些地址发送含毒邮件进行传播。病毒不会向某些著名信息安全和反病毒厂商发送带毒邮件。

　　9.病毒邮件特征：

　　发信人：<伪造>

　　标题：可能是下列之一：

　　Re:

　　Re: Hello

　　Re: Hi

　　Re: Thank you!

　　Re: Thanks :)

　　正文：: ) )

　　附件文件：就是病毒程序，可能是名称下列之一：

　　Price

　　price

　　Joke

　　附件文件扩展名可能是.com, .cpl, .exe, . scr

　　针对该病毒，江民公司已经在第一时间升级了病毒库。请您在收到符合上述描述的电子邮件时千万不要点击运行附件程序，并及时升级到9月29日病毒库，即可全面查杀该病毒，保护您的系统不受其侵害。