词条 | I-Worm/BBEagle.m |
释义 | I-Worm/BBEagle.m用其自身的SMTP引擎群发电子邮件进行传播,在TCP端口2556打开后门,同时试图通过文件共享来传播,它会将自身复制到名字包含"shar"字样的文件夹中. 病毒传播过程如下: 1.生成下列文件: %System%\\winupd.exe %System%\\winupd.exeopen %System%\\winupd.exeopenopen %System%\\winupd.exeopenopenopen 注:%System%一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), or C:\\Windows\\System32 (Windows XP) 2.在注册表HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下添加 "winupd.exe"="%System%\\winupd.exe" 键值 3.试图终止国内外大部分杀毒软件、防火墙、常用监控程序和某些病毒进程 4.在端口2556打开一后门,允许攻击者发送信息,并下载文件到%Windir%下,文件名为%Windir%\\iuplda<x>.exe (注:<x>为任意随机字符) 5.为了通过网络共享文件传播,就象KaZaA 和 iMesh,病毒以它们的名字把自己放置到包含"shar"字符串的目录下. 6.搜索本地驱动器试图感染可执行文件,被感染文件附带蠕虫程序。该病毒在感染每个新文件时进行变形,使查杀难度增加。 7.在本地固定的驱动器下有下列扩展名的文件中搜索适当的邮件地址: adb asp cfg cgi dbx dhtm eml htm jsp mbx mdx mht mmf msg nch ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml 8.使用自己的 SMTP 引擎发送自身到上述邮件地址。它包含自己的 MIME 编码例程,并在内存中编写邮件,然后将其发送到上述所有地址. 此邮件有如下特征: 发件人:<可能下列之一> management@<收信人域> administration@<收信人域> staff@<收信人域> noreply@<收信人域> support@<收信人域> 附件:如下文件名,一般为.pif .zip .rar类型文件,而且.zip和.rar文件包含一个.exe文件可能有密码保护。 Attach Details Document Encrypted Gift Info Information Message MoreInfo Readme Text TextDocument details first_part pub_document text_document 如果蠕虫是一个.exe文件,会使用下列图标显示并运行。 9.病毒会避免向著名信息安全公司和反病毒公司的邮件地址发送信息. |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。