病毒别名：I-Worm.Bagle [Kaspersky], WORM_BAGLE.A [Trend], W32.Beagle.A@mm [symantec]

处理时间：2004-01-19

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x/NT/Win2000/WinXP

病毒行为:

编写工具:

汇编

传染条件:

该蠕虫从扩展名为:

WAB

TXT

HTM

HTML

中搜索电子邮件地址, 然后将自身作为附件发送到收集到的邮件地址, 不向下列邮箱发送邮件:

@hotmail.com

@msn.com

@microsoft

@avp

在1月28号后停止发作. 该蠕虫自带了一个smtp引擎进行传播, 其发送邮件的格式如下:

邮件主题: Hi

邮件内容:

Test =)

<随机生成的一些字符>

--

Test, yep.

附件名称: <随机名称>.exe

附件大小: 16K

发作条件:

1月28号后停止发作.

系统修改:

<1>拷贝文件 %system%beagle.exe

<2>在注册表写入下列键值, 使得病毒在系统启动时自动运行:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

d3dupdate.exe = "%System%beagle.exe"

HKEY_USERS\\%SystemInfo%SoftwareMicrosoftWindowsCurrentVersionRun

d3dupdate.exe = "%System%beagle.exe"

<3>为了使病毒持续活动,在注册表写入下列键值;

HKEY_USERS\\%SystemInfo%SoftwareWindows98

Uid = <随机数值>

HKEY_USERS\\%SystemInfo%SoftwareWindows98

Frun = %SystemInfo%

注: %SystemInfo%指系统信息, 如: Class ID 或用户名等.

发作现象:

由于附件的图标根windows自带计算器图标相似, 容易使用户上当, 当用户运行病毒后, 病毒先运行自身, 然后再运行windows自带计算器, 因此具有一定的欺骗性. 病毒此时在后台运行搜索邮件地址, 发送邮件等.

特别说明:

病毒自带了smtp引擎, 因而可以比较随意的以匿名方式发送邮件.