病毒名称：“贝革热”变种（Worm_Bbeagle.J）

其它中文命名：“恶鹰”变种I（金山）、“恶鹰”（瑞星）

其它英文命名：W32/Bagle.j@MM （McAfee）

             WORM_BAGLE.J （Trend Micro）

             I-Worm.Netsky.d （Kaspersky）

             Win32.Bagle.J （Computer Associates）

             W32/Bagle-J （Sophos）

病毒类型：蠕虫

感染系统：Windows 95/98/Me/NT/2000/XP

病毒长度：字节

病毒特征：12,288字节

如何清除

1、打开任务管理器，终止“irun4.exe”进程。

2、运行注册表编辑器，依次打开HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除“ssate.exe“=“%System%.exe“。

3、查找文件“irun4.exe”和“irun4.exeopen”，并将找到的文件删除。

专杀工具 http://www.duba.net/download/3/104.shtml

病毒通过电子邮件进行传播，运行后，在系统目录下生成自身的拷贝，修改注册表键值。病毒同时具有后门能力。

1、生成病毒文件

    病毒运行后，在%System％文件夹下生成自身的拷贝，名称为irun4.exe。

    病毒还在%system%文件夹下生成irun4.exeopen，该文件是一个加过密的.zip文件包，其内容为病毒代码，密码是随机生成的。

（其中，%System%在Windows 95/98/Me 下为C:，在Windows NT/2000下为C:，
在Windows XP下为 C:）

2、修改注册表项

    病毒添加注册表项，使得自身能够在系统启动时自动运行，在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加"ssate.exe"="%System%.exe"

3、通过电子邮件进行传播

    病毒在被感染用户的系统内搜索以下扩展名的文件，寻找电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件。

.wab、.txt、.msg、.htm、.xml、.dbx、.mdx、.eml、.nch、.mmf、

.ods、.cfg、.asp、.php、.pl、.adb、.tbb、.sht、.uin、.cgi

    同时，病毒会避免发送病毒邮件到包含下列字符串的邮件地址：

@hotmail.com

@msn.com

@microsoft

@avp.

noreply

local

root@

postmaster@

病毒发送的带毒电子邮件格式如下：

发件人：（为下列之一），其中< recipient domain> 为邮件接收者邮件服务器的域，例如，如果邮件接收者的电子邮件地址为tjbj@163.net，< recipient domain>就为163.net。

management@<recipient domain>

administration@<recipient domain>

staff@<recipient domain>

noreply@<recipient domain>

support@<recipient domain>

主题：（为下列之一）

E-mail account disabling warning.

E-mail account security warning.

Email account utilization warning.

Important notify about your e-mail account.

Notify about using the e-mail account.

Notify about your e-mail account utilization.

Warning about your e-mail account.

内容：相对于同期出现的病毒，该变种的内容较多，可能为下列几部分字符串的任意组合。

第一部分：

（1）Dear user of <domain>,

（2）Dear user of <domain> gateway e-mail server,

（3）Dear user of e-mail server "<domain>",

（4）Hello user of <domain> e-mail server,

（5）Dear user of "<domain>" mailing system,

（6）Dear user, the management of <domain> mailing system wants to let you know that,

第二部分：

（1）Your e-mail account has been temporary disabled because of unauthorized access.

（2）Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.

（3）Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.

（4）We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.

（5）Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.

（6）Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

第三部分：

（1）For more information see the attached file.

（2）Further details can be obtained from attached file.

（3）Advanced details can be found in attached file.

（4）For details see the attach.

（5）For details see the attached file.

（6）For further details see the attach.

（7）Please, read the attach for further details.

（8）Pay attention on attached file.

第四部分：<domain> 为邮件服务器的域，如163.net

The <domain> team http://www.<domain>

第五部分：

（1）The Management,

（2）Sincerely,

（3）Best wishes,

（4）Have a good day,

（5）Cheers,

（6）Kind regards,

第六部分：如果病毒邮件的附件为.zip文件，病毒邮件还包含下列字符串之一。其中"<password>"是五位随机数字，为病毒邮件.zip附件的密码。

（1）For security reasons attached file is password protected. The password is "<password>".

（2）For security purposes the attached file is password protected. Password is "<password>".

（3）Attached file protected with the password for security reasons. Password is <password>.

（4）In order to read the attach you have to use the following password: <password>.

附件：附件名称为下列之一，扩展名位.zip或.pif

Attach

Information

Readme

Document

Info

TextDocument

TextFile

MoreInfo

Message

4、通过网络共享进行传播

    病毒搜索包含字符串“shar” 的文件夹中，在找到的文件夹下生成病毒文件的副本，并通过网络共享进行传播，病毒文件名字如下：

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Matrix 3 Revolution English Subtitles.exe

Microsoft Office 2003 Crack, Working!.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Opera 8 New!.exe

Porno pics arhive, xxx.exe

Porno Screensaver.scr

Porno, ***, oral, anal cool, awesome!!.exe

Serials.txt.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

Windows Sourcecode update.doc.exe

XXX hardcore images.exe

5、后门能力

    病毒在被感染的系统中打开TCP端口2745进行监听，以允行攻击者向该端口发送信息，并自动下载新的程序到受感染系统的%Windir%目录中，名字为iuplda<x>.exe，其中<x>为随机字符。

    这有可能成为新病毒传播的一个途径。

    病毒通过TCP端口80，发送HTTP GET 请求到下列网址，并通过此种方式来获得受感染系统的IP地址和打开的端口号。

postertog.de
www.gfotxt.net
www.maiklibis.de

7、终止进程

   病毒会终止以下进程，来阻止和扰乱反病毒软件的升级，是用户的反病毒软件无法处理最新病毒。

Atupdater.exe

Aupdate.exe

Autodown.exe

Autotrace.exe

Autoupdate.exe

Avltmain.exe

Avpupd.exe

Avwupd32.exe

Avxquar.exe

Cfiaudit.exe

Drwebupw.exe

Icssuppnt.exe

Icsupp95.exe

Luall.exe

Mcupdate.exe

Nupgrade.exe

Outpost.exe

Update.exe