I-Worm/BBEagle.p

病毒长度：25,600 bytes

病毒类型：网络蠕虫

影响平台：Win9x/Me/2000/XP/NT/2003

I-Worm/BBEagle.p是“雏鹰“变种，它利用自己的SMTP引擎群发邮件进行传播，试图通过文件共享软件进行传播。该蠕虫病毒还感染.exe文件。

其传播过程及特征如下：

1.首先检查系统时间，如果为2006年或其后，那么它将删除蠕虫在注册表里添加的子键和键值，并结束它的所有功能。

2.在系统目录下创建directs.exe 和directs.exeopen文件

3.修改注册表：

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下添加"directs.exe"="%System%\\directs.exe"键值；

添加HKEY_CURRENT_USER\\SOFTWARE\\windirects子键；

删除启动项下9XHtProtect，Antivirus， HtProtect，ICQ Net，

ICQNet，My AV，NetDy ，pecial Firewall Service，

Tiny AV，Zone Labs Client Ex，service等值。

4.结束部分国外杀毒软件、防火墙、常用监控程序和某些病毒进程

5.在TCP端口2556开后门,如果黑客发送特定格式数据到此,蠕虫会允许下载任意文件存储到系统安装目录下,并以iuplda<?>.exe命名。 (注:<?>为随机字符).

6.使用自己的 SMTP 引擎发送自身到搜索的邮件地址。它包含自己的 MIME 编码例程，并在内存中编写邮件，然后将其发送.邮件特征如下：

发信人：<下列之一>

management@<收信人域>

administration@<收信人域>

staff@<收信人域>

antivirus@<收信人域>

antispam@<收信人域>

noreply@<收信人域>

support@<收信人域>

主题：<不一定>

正文：包含不可见的HTML代码，此代码会自动下载并执行蠕虫。

此外蠕虫在发送邮件时会自动忽略一些国内外杀毒厂商。

7.在TCP端口81打开一个Web服务器。蠕虫收到特定的GET请求后，用.hta Web page（包含VB脚本）响应。

注：.hta文件请求是一个可执行文件，名字可能是sm.exe或q.exe