病毒名称：WORM_BAGLE.AZ

其它英文命名：Win32.Bagle.AU（Computer Associates），

Email-Worm.Win32.Bagle.ay（Kaspersky Lab），

W32/Bagle.bk@MM（McAfee），

WORM_BAGLE.AZ（Trend Micro），

W32.Beagle.AY@mm（Symantec）

感染系统：Windows 2000， Windows 95， Windows 98，

Windows Me， Windows NT， Windows XP

病毒长度：19，000字节

病毒特征：

该变种通过邮件和网络进行传播，病毒驻留内存，打开后门，修改注册表，在系统目录下创建文件。

1、生成病毒文件

在%Windows％目录下生成sysformat.exe、

sysformat.exeopen、 sysformat.exeopenopen。（其中，%Windows% 是Windows的默认文件夹，通常是 C:\\Windows 或 C:\\WINNT）

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，病毒会添加如下注册选项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

sysformat = "%System%\\sysformat.exe"

病毒还会创建如下注册选项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Params

riga = "<随机十六进制数值>"

3、通过电子邮件传播

该病毒利用自带的SMTP引擎发送带毒邮件。病毒会从被感染计算机收集邮件地址，并将自身作为附件向外发送带毒电子邮件。病毒邮件使用虚假的发件人地址，使之看上去像是从熟悉的地址发来的，用以迷惑用户，同时会跳过含有特定字符串的邮件地址。

病毒所发送的电子邮件有特征如下：

主题: (其中之一)

Delivery service mail

Delivery by mail

Registration is accepted

Is delivered mail

You are made active

Thanks for use of our software.

Before use read the help

正文: (其中之一)

Delivery service mail

Delivery by mail

Registration is accepted

Is delivered mail

You are made active

Thanks for use of our software.

Before use read the help

附件: (其中之一)

guupd02.exe

Jol03.exe

siupd02.exe

upd02.exe

viupd02.exe

wsd01.exe

zupd02.exe

使用如下扩展名：

COM

CPL

EXE

SCR

4、通过网络共享传播

病毒会在网络中搜索名称中带有"shar"字符串的共享文件夹，找到后会在其中生成如下自身拷贝：

1.exe

2.exe

3.exe

4.exe

5.scr

6.exe

7.exe

8.exe

9.exe

10.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe