基本信息

具体介绍

感染系统

传播

病毒特征

后门功能

基本信息

病毒名称：Win32.Bagle.A

其它名称：W32.Beagle@mm (Symantec),Win32/Bagle.A (Eset)

病毒属性：蠕虫病毒 危害性：低危害 流行程度：高

具体介绍

Win32.Bagle.A 是一种通过邮件系统向外传播的蠕虫病毒。并且，看上去病毒作者在其中增加了某些后门程序的功能，但由于代码中存在bug，这些功能无法实现。

感染系统

当用户执行病毒程序后，Bagle.A将其自身复制到%System% 目录，文件名为：bbeagle.exe，并且病毒使用系统的计算器程序图标：

同时，病毒将增加下面的注册表健值，以便系统启动时自动执行：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\

d3dupdate.exe = "%System%\\bbeagle.exe"

另外，病毒还会增加以下两个健值：

HKCU\\Software\\Windows98\\frun = 1

HKCU\\Software\\Windows98\\uid =

传播

病毒主要通过e-mail传播，并且病毒自身包含SMTP引擎。病毒感染系统后，会对 .wab,.txt,.htm,.html文件进行搜索，将其中的地址收集起来作为向外传播的地址列表。而且病毒会判断如果地址列表中包含@hotmail.com, @msn.com, @microsoft, and @avp.的内容，病毒将会将这些地址删除。也就是说病毒不会向这些地址发送病毒。

病毒特征

主题： Hi

邮件内容：

Test =)

--

Test, yep.

附件是个用随机小写字母组成的.exe文件。

后门功能

蠕虫病毒使用 6777 端口来接受远程的访问。并且病毒会试图访问一些指定的WEB站点：

http://www.elrasshop.de/1.php

http://www.it-msc.de/1.php

http://www.getyourfree.net/1.php

http://www.dmdesign.de/1.php

http://64.176.228.13/1.php

http://www.leonzernitsky.com/1.php

http://216.98.136.248/1.php

http://216.98.134.247/1.php

http://www.cdromca.com/1.php

http://www.kunst-in-templin.de/1.php

http://vipweb.ru/1.php

http://antol-co.ru/1.php

http://www.bags-dostavka.mags.ru/1.php

http://www.5x12.ru/1.php

http://bose-audio.net/1.php

http://www.sttn.de/1.php

http://wh9.tu-dresden.de/1.php

http://www.micronuke.net/1.php

http://www.stadthagen.org/1.php

http://www.beasty-cars.de/1.php

http://www.polohexe.de/1.php

http://www.bino88.de/1.php

http://www.grefrathpaenz.de/1.php

http://www.bhamidy.de/1.php

http://www.mystic-vws.de/1.php

http://www.auto-hobby-essen.de/1.php

http://www.polozicke.de/1.php

http://www.twr-music.de/1.php

http://www.sc-erbendorf.de/1.php

http://www.montania.de/1.php

http://www.medi-martin.de/1.php

http://vvcgn.de/1.php

http://www.ballonfoto.com/1.php

http://www.marder-gmbh.de/1.php

http://www.dvd-filme.com/1.php

http://www.smeangol.com/1.php

另外，此病毒会在2004年1月28日停止执行。