病毒别名：

处理时间：

威胁级别：★★

中文名称：恶鹰

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是蠕虫病毒恶鹰Beagle的新变种，它一旦运行，会尝试关闭多种知名的杀毒软件，降低

系统的安全性能，然后开启多个病毒线程，并下载另一个病毒体，发送垃圾邮件，实现蠕虫

传播。

1. 病毒体采用图片图标，被点击运行后，会弹出图片编辑器运行界面。而实际上病毒体已将自身

拷贝到%system%文件夹下，命名为winshot.exe，并释放另一个动态链结文件wiwshost.exe。

2. 病毒修改注册表添加如下启动项，使winshot.exe能够开机运行：

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"winshost.exe" = "%system%\\winshost.exe"

[HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"winshost.exe" = "%system%\\winshost.exe"

3. wiwhost.exe实际上是一个动态链结文件，它被注入到explorer.exe进程中，不但修改hosts文件，

还尝试关闭多种正在运行的安全进程，然后开启多个线程，这些线程包括：

i) 搜索注册表中知名安全软件的注册表项，并将其删除，其中有：

Symantec

NAV

McAfee

KasperskyLab

Agnitum

Panda Software

Zone Labs

KAV50

ii) 遍历硬盘；

iii) 结束以下安全进程的升级程序：

NUPGRADE.EXE

MSUPDATE.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

FIREWALL.EXE

ATUPDATER.EXE

LUALL.EXE

DRWEBUPW.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ISCUPP95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

UPGRADER.EXE

AVXQUAR.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

iv) 从多个网址下载名为"o**3.gif"的文件，将其拷贝到%windir%目录下，命名为_re_file.exe，

然后运行这个可执行程序，这个程序会发送大量垃圾邮件，实现病毒的传播。