您现在的位置: 首页 > 病毒库 > 蠕虫病毒
Win32.Bagle.A
发布时间:2004-12-27 18:42:00
病毒名称:Win32.Bagle.A
其它名称:W32.Beagle@mm (Symantec),Win32/Bagle.A (Eset)
病毒属性:蠕虫病毒 危害性:低危害 流行程度:
具体介绍:

Win32.Bagle.A 是一种通过邮件系统向外传播的蠕虫病毒。并且,看上去病毒作者在其中增加了某些后门程序的功能,但由于代码中存在bug,这些功能无法实现。

感染系统:
当用户执行病毒程序后,Bagle.A将其自身复制到%System% 目录,文件名为:bbeagle.exe,并且病毒使用系统的计算器程序图标:


同时,病毒将增加下面的注册表健值,以便系统启动时自动执行:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
d3dupdate.exe = "%System%\bbeagle.exe"

另外,病毒还会增加以下两个健值:
HKCU\Software\Windows98\frun = 1
HKCU\Software\Windows98\uid =

传播:
病毒主要通过e-mail传播,并且病毒自身包含SMTP引擎。病毒感染系统后,会对 .wab,.txt,.htm,.html文件进行搜索,将其中的地址收集起来作为向外传播的地址列表。而且病毒会判断如果地址列表中包含@hotmail.com, @msn.com, @microsoft, and @avp.的内容,病毒将会将这些地址删除。也就是说病毒不会向这些地址发送病毒。

病毒的邮件有如下特征:
主题: Hi
邮件内容:
Test =)

--
Test, yep.

附件是个用随机小写字母组成的.exe文件。


后门功能:
蠕虫病毒使用 6777 端口来接受远程的访问。并且病毒会试图访问一些指定的WEB站点:

http://www.elrasshop.de/1.php
http://www.it-msc.de/1.php
http://www.getyourfree.net/1.php
http://www.dmdesign.de/1.php
http://64.176.228.13/1.php
http://www.leonzernitsky.com/1.php
http://216.98.136.248/1.php
http://216.98.134.247/1.php
http://www.cdromca.com/1.php
http://www.kunst-in-templin.de/1.php
http://vipweb.ru/1.php
http://antol-co.ru/1.php
http://www.bags-dostavka.mags.ru/1.php
http://www.5x12.ru/1.php
http://bose-audio.net/1.php
http://www.sttn.de/1.php
http://wh9.tu-dresden.de/1.php
http://www.micronuke.net/1.php
http://www.stadthagen.org/1.php
http://www.beasty-cars.de/1.php
http://www.polohexe.de/1.php
http://www.bino88.de/1.php
http://www.grefrathpaenz.de/1.php
http://www.bhamidy.de/1.php
http://www.mystic-vws.de/1.php
http://www.auto-hobby-essen.de/1.php
http://www.polozicke.de/1.php
http://www.twr-music.de/1.php
http://www.sc-erbendorf.de/1.php
http://www.montania.de/1.php
http://www.medi-martin.de/1.php
http://vvcgn.de/1.php
http://www.ballonfoto.com/1.php
http://www.marder-gmbh.de/1.php
http://www.dvd-filme.com/1.php
http://www.smeangol.com/1.php

另外,此病毒会在2004年1月28日停止执行。

清除:

kill版本: