I-Worm/BBEagle.ao

病毒长度：约15K

病毒类型：蠕虫

危害等级：***

影响平台：Win9X/2000/XP/NT/Me

“雏鹰”病毒最新变种I-Worm/BBEagle.ao大小约15K，病毒在感染计算机上搜索电子邮件地址，利用其自带的SMTP引擎通过发送电子邮件传播。也可以通过文件共享网络传播。病毒还会在被感染计算机上打开后门端口。

具体技术特征如下：

1. 病毒运行后，将创建下列文件：

%System%\\windirect.exe, 约14.5K

%System%\\_dll.exe, 约11.5K

2. 在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"win_upd2.exe" = %System%\\windirect.exe

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"win_upd2.exe" = %System%\\windirect.exe

这样，在Windows启动时，病毒就可以自动执行。

3.结束多种杀毒软件的进程

4.尝试从多个（超过200个）网站下载并运行病毒程序。病毒程序被下载到本地后.

5. 在注册表中添加下列启动项：

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"erthgdr"="%System%\\windll.exe"

6. 创建下列文件：

%System%\\windll.exe. 病毒程序

%System%\\windll.exeopen, 病毒程序，尾部附有随机数据

%System%\\windll.exeopenopen, 病毒程序，尾部附有随机数据

%System%\\re_file.exe

7.创建若干I-Worm/Netsky变种使用的互斥体，从而使若干“网络天空”变种在感染I-Worm/BBEagle.ao的计算机上无法运行。

8.将自身复制到名字中包含“shar”的文件夹中，病毒程序可能使用的名称有：

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

9.从本地磁盘搜索合法email地址，并向这些地址发送含毒邮件进行传播。

10.病毒邮件特征：

发信人：<伪造>

标题：<空>

正文：New price

附件文件：就是病毒程序，可能是下列之一：

08_price.zip

new__price.zip

new_price.zip

newprice.zip

price.zip

price2.zip

price_08.zip

price_new.zip