该病毒是年初爆发的“恶鹰”（Worm.Beagle.A）蠕虫病毒的最新变种，命名为“恶鹰II”（Worm.Beagle.B）。此次变种病毒仍以发邮件为传播方式，在被感染的系统内留后门，允许黑客远程上传并执行任意程序。此变种最大的不同在于，变种的病毒主程序在邮件附件中时，图标伪装成“命令提示符”，来欺骗用户运行它。病毒在运行时会弹出“录音机”系统程序来隐藏自己的运行，迷惑用户，使自己能成功侵入系统，并再以感染的系统为源，开始发送大量病毒邮件，冲击网络、冲击网络中的邮件服务器。

=====================================================================================================

病毒信息：

病毒名称: Worm.Beagle.B

中文名称: 恶鹰II

威胁级别: 3A

发现日期: 2004.02.18

处理日期: 2004.02.18

病毒别名:“恶鹰”变种（Worm.BBeagle.b） [瑞星]

W32/Bagle.b@MM [McAfee]

W32/Bagle.B@mm [Norman]

WORM_BAGLE.B [Trend Mirco]

W32/Bagle.B.worm [Panda],

病毒类型: 蠕虫、后门

受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

能处理的毒霸版本: 2004年02月18日

=====================================================================================================

技术特点：

· 发作条件:该病毒会检查系统日期，如果系统日期为2004年2月25日后，则它将不运行；

· 系统修改:

1、自我复制到系统目录 %system%\\Au.exe

2、在注册表主键：

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

中添加如下键值:

"au.exe"="%System%\\au.exe"

以便病毒可随机启动；

在注册表主键：

HKEY_CURRENT_USER\\SOFTWARE\\Windows2000

中添加如下键值：

"frn" = "0x00000001" or "frn" = "0x00000000"以及"gid" = "<随机值>"

该随机值被攻击者作为被感染机器的唯一标识；

3、发作现象:

A、如果它不是从%System%\\Au.exe运行的，那么它还会启动系统自带的录音机程序

Sndrec32.exe

B、在被感染机器以下后缀名的文件中查找Email地址：

.wab

.txt

.htm

.html

C、改蠕虫使用其自带的SMTP引擎将其自己发送到查找到的Email地址。它包含自己的MIME编

码程序，并将会在内存中先生成邮件，然后发送。

其发送的邮件具有如下特征：

发件人: <具有欺骗性的地址>

主题: ID <随机字符>... thanks

正文:

Yours ID <随机字符>

- -

Thank

附件: <随机字符>.exe

该蠕虫不会将邮件发送给包含以下任何一个字符串的Email地址:

@hotmail.com

@msn.com

@microsoft

@avp.

D、该病毒会检查系统日期，如果系统日期为2004年2月25日后，则它将不运行

4、该病毒的后门特性

A、在TCP端口8866上打开一个后门供攻击者上传文件至被感染机器。所有上传的文件都被保

存在%System%目录下，并被运行；

B、每隔10,000秒都会向以下网站的TCP 80端口发送HTTP GET请求

www.strato.de/1.php

www.strato.de/2.php

www.47df.de/wbboard/1.php

www.intern.games-ring.de/2.php

该GET请求包含被感染机器的监听端口，注册表键值"gid"中纪录的ID号，以及其IP地址。

=====================================================================================================

解决方案:

· 请使用金山毒霸2004年02月18日的病毒库可完全处理该病毒；

· 请注意不要打开陌生人的邮件，由期对有带有可执行程序的附件，要特别警惕；

· 手工解决方案：

对于系统是Windows9x,WindowsMe：

步骤一，删除病毒主程序

请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为

C:\\windows\\system），分别输入以下命令，以便删除病毒程序：

C:\\windows\\system\\>del Au.exe

完毕后，取出系统软盘，重新引导到Windows系统。

如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

步骤二，清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run

在右边的面板中, 找到并删除如下项目：

"au.exe"="%System%\\au.exe"

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USER > SOFTWARE

找到子键Windows2000，并将其全部删除

关闭注册表编辑器。

对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever：

步骤一，使用进程序管里器结束病毒进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务

管理器中，单击“进程”标签，在例表栏内找病毒进程“Au.exe”，单击“结束进程按钮”，

点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除病毒程序

通过“我的电脑”或“资源管理器”进入系统目录（Winnt\\system32或

windows\\system32)，找到文件“Au.exe”，将它们删除；

步骤三，清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run

在右边的面板中, 找到并删除如下项目：

"au.exe"="%System%\\au.exe"

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USER > SOFTWARE

找到子键Windows2000，并将其全部删除

关闭注册表编辑器.