i-worm/bbeagle.ac
病毒类型：网络蠕虫
危害等级：**
影响平台：win9x/2000/xp/nt/me/2003
i-worm/bbeagle.ac在感染计算机上搜索电子邮件地址，利用其自带的smtp引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化。病毒在被感染计算机上打开后门端口1080。
传播过程及特征：
1.生成文件：
%system%\sys_xp.exe
%system%\sys_xp.exeopen
%system%\sys_xp.exeopenopen含毒zip文件，或病毒cpl文件
2.修改注册表：
/删除注册表启动项下键值
[hkey_local_machine\software\microsoft\windows\currentversion\run]
[hkey_current_user\software\microsoft\windows\currentversion\run]
包含下列字符串的键值
"myav"
"zonelabsclientex"
"9xhtprotect"
"antivirus"
"specialfirewallservice"
"service"
"tinyav"
"icqnet"
"htprotect"
"netdy"
"jammer2nd"
"firewallsvr"
"msinfo"
"sysmonxp"
"easyav"
"pandaavengine"
"nortonantivirusav"
"kasperskyaveng"
"skynetsrevenge"
"icqnet"
/添加键值
[hkey_current_user\software\microsoft\windows\currentversion\run]
"key"="%system%\sys_xp.exe"
3.在感染的计算机上打开后门端口1080，可以用于转发邮件。
4.自动关闭大多数常用杀毒软件和监测工具的进程。
5.将自身复制到名字中包含“shar”的文件夹中，病毒程序可能使用的名称有：
acdsee9.exe
adobephotoshop9full.exe
aheadnero7.exe
kasperskyantivirus5.0
kav5.0
matrix3revolutionenglishsubtitles.exe
microsoftoffice2003crack,working!.exe
microsoftofficexpworkingcrack,keygen.exe
microsoftwindowsxp,winxpcrack,workingkeygen.exe
opera8new!.exe
pornopicsarhive,xxx.exe
pornoscreensaver.scr
porno,sex,oral,analcool,awesome!!.exe
serials.txt.exe
winamp5prokeygencrackupdate.exe
winamp6new!.exe
windownlonghornbetaleak.exe
windowssourcecodeupdate.doc.exe
xxxhardcoreimages.exe
6.连接多个网页脚本。
7.从下列类型的文件中搜索邮件地址
.adb.asp.cfg.cgi.dbx.dhtm.eml.jsp
.mbx.mdx.mht.mmf.msg.nch.ods.oft.php
.pl.sht.shtm.stm.tbb.txt.uin.wab.wsh
.xls.xml
利用自带的smtp引擎发送邮件到上述地址，邮件特征：
发件人：伪造地址
主题：下列之一
changes..
encrypteddocument
faxmessage
forumnotify
incomingmessage
notification
protectedmessage
re:document
re:hello
re:hi
re:incomingmessage
re:incomingmsg
re:messagenotify
re:msgreply
re:protectedmessage
re:textmessage
re:thankyou!
re:thanks:)
re:yahoo!
sitechanges
update
附件：扩展名为.exe/.scr/.com/.cpl/.zip
附件名为下列之一
information
details
text_document
updates
readme
document
info
moreinfo
message

注：%windir%为变量，一般为c:\windows或c:\winnt；
%system%为变量，一般为c:\windows\system(windows95/98/me),c:\winnt\system32(windowsnt/2000),
或c:\windows\system32(windowsxp)。