§ 概要

病毒别名：贝革热 雏鹰 【江民】

处理时间：

威胁级别：★★★

中文名称：恶鹰变种C

病毒类型：蠕虫

影响系统：Win9x/Win2000/WinXP/Windows Server 2003

病毒行为:

“恶鹰”家族

编写工具:

VC编写，UPX压缩

传染条件:

利用邮件传播

发作条件:

检查计算机日期，如果当前日期是在2004年3月25日之后，病毒将卸载自己并退出。

系统修改:

A、建立互斥体"imain_mutex"，用于保证系统中只有唯一的病毒进程；

B、如果病毒在系统目录（%system%)被激活，他会运行记事本，以迷惑用户。

C、自我复制到系统目录

%system%Readme.exe

D、在系统目录中创建以下文件

%system%onde.exe 病毒用于发邮件的模块

%system%doc.exe 用于调用onde.exe

%system%

eadme.exeopen 病毒的ZIP压缩包文件

E、使用线程注入的方法将后门程序的模块注入到系统进程explorer.exe中，以便隐藏执行；

F、添加以下键值

"gouday.exe"="%System%

eadme.exe"

到

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

以便病毒可随机自启动；

G、添加以下键值

"uid"="【Random Value】"

"port"="2745"

"frun"="1"

HKEY_CURRENT_USERSOFTWAREDateTime2

该键值是病毒作者用于记录病毒信息；

H、打开TCP端口2745监听，允许黑客进行一个未授权的访问；

I、访问以下网止，上传病毒在被感染系统内获得的信息，如IP地址等：

permail.uni-muenster.de

www.songtext.net/de

www.sportscheck.de

J、中上以下程序。下面的程序多为常用反病毒软件的升级程序：

ATUPDATER.EXE

AVWUPD32.EXE

AVPUPD.EXE

LUALL.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

UPDATE.EXE

NUPGRADE.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

MCUPDATE.EXE

NUPGRADE.EXE

OUTPOST.EXE

AVLTMAIN.EXE

K、搜索以下指定后缀名的文件，查找其中的电子邮件地址，用于发送病毒邮件：

.wab、 .txt、 .htm、 .html、 .dbx、 .mdx、 .eml、 .nch、 .mmf、 .ods、 .cfg、 .asp、 .php、 .pl、.adb、 .sht

L、病毒使用自己的发信引擎大是妻送病毒邮件，其特征如下：

发件人: (使用搜索到的仍意邮件地址)

主题: (可以是以下字符串中)

Accounts department

Ahtung!

Camila

Daily activity report

Flayers among us

Freedom for everyone

From Hair-cutter

From me

Greet the day

Hardware devices price-list

Hello my friend

Hi!

Jenny

Jessica

Looking for the report

Maria

Melissa

Monthly incomings summary

New Price-list

Price

Price list

Pricelist

Price-list

Proclivity to servitude

Registration confirmation

The account

The employee

The summary

USA government abolishes the capital punishment

Weekly activity report

Well...

You are dismissed

You really love me? he he

内容: 通常为空

附件名: <随机字符串>.exe 并打包到一个zip文件中

该病毒不向包含以下域名或邮件地址名的的邮件地址发送病毒邮件：

.ch

@hotmail.com

@msn.com

@microsoft

@avp.

noreply

local

root@

postmaster@

发作现象:

病毒主程序使用“电子表格”文件的图标，如下图：

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 彭立威
• 彭立民烈士
• 彭立茂烈士
• 彭立谓烈士
• 彭章美烈士
• 彭端叔
• 彭端孙烈士
• 彭竹生烈士
• 彭箕祥烈士
• 彭粤生烈士
• 彭红牙烈士
• 彭纪传烈士
• 彭纪友烈士
• 彭纳投影
• 彭细亚烈士
• 彭绍光
• 彭绍球烈士
• 彭绍祖
• 彭绍辉
• 彭绍辉(1906～1978)
• 彭经源烈士
• 彭继梗烈士
• 彭继积烈士
• 彭继超
• 彭绩海烈士