病毒名稱
Win32.Bagle.A其它名稱
W32.Beagle@mm (Symantec),Win32/Bagle.A (Eset)病毒屬性
蠕蟲病毒危害性:低危害流行程度:高具體介紹
Win32.Bagle.A 是一種通過郵件系統向外傳播的蠕蟲病毒。並且,看上去病毒作者在其中增加了某些後門程式的功能,但由於代碼中存在bug,這些功能無法實現。感染系統:
當用戶執行病毒程式後,Bagle.A將其自身複製到%System% 目錄,檔案名稱為:bbeagle.exe,並且病毒使用系統的計算器程式圖示:
同時,病毒將增加下面的註冊表健值,以便系統啟動時自動執行:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
d3dupdate.exe = "%System%\bbeagle.exe"
另外,病毒還會增加以下兩個健值:
HKCU\Software\Windows98\frun = 1
HKCU\Software\Windows98\uid =
傳播:
病毒主要通過e-mail傳播,並且病毒自身包含SMTP引擎。病毒感染系統後,會對 .wab,.txt,.htm,.html檔案進行搜尋,將其中的地址收集起來作為向外傳播的地址列表。而且病毒會判斷如果地址列表中包含@hotmail.com, @msn.com, @microsoft, and @avp.的內容,病毒將會將這些地址刪除。也就是說病毒不會向這些地址傳送病毒。
病毒的郵件有如下特徵:
主題: Hi
郵件內容:
Test =)
--
Test, yep.
附屬檔案是個用隨機小寫字母組成的.exe檔案。
後門功能:
蠕蟲病毒使用 6777 連線埠來接受遠程的訪問。並且病毒會試圖訪問一些指定的WEB站點:
http://www.elrasshop.de/1.php
http://www.it-msc.de/1.php
http://www.getyourfree.net/1.php
http://www.dmdesign.de/1.php
http://64.176.228.13/1.php
http://www.leonzernitsky.com/1.php
http://216.98.136.248/1.php
http://216.98.134.247/1.php
http://www.cdromca.com/1.php
http://www.kunst-in-templin.de/1.php
http://vipweb.ru/1.php
http://antol-co.ru/1.php
http://www.bags-dostavka.mags.ru/1.php
http://www.5x12.ru/1.php
http://bose-audio.net/1.php
http://www.sttn.de/1.php
http://wh9.tu-dresden.de/1.php
http://www.micronuke.net/1.php
http://www.stadthagen.org/1.php
http://www.beasty-cars.de/1.php
http://www.polohexe.de/1.php
http://www.bino88.de/1.php
http://www.grefrathpaenz.de/1.php
http://www.bhamidy.de/1.php
http://www.mystic-vws.de/1.php
http://www.auto-hobby-essen.de/1.php
http://www.polozicke.de/1.php
http://www.twr-music.de/1.php
http://www.sc-erbendorf.de/1.php
http://www.montania.de/1.php
http://www.medi-martin.de/1.php
http://vvcgn.de/1.php
http://www.ballonfoto.com/1.php
http://www.marder-gmbh.de/1.php
http://www.dvd-filme.com/1.php
http://www.smeangol.com/1.php
另外,此病毒會在2004年1月28日停止執行。
