病毒信息
　　病毒名称: Worm.Beagle.e
　　中文名称: 恶鹰变种E
　　威胁级别: 3B
　　病毒别名:
　　贝革热
　　雏鹰 [江民]
　　病毒类型: 蠕虫、后门
　　受影响系统: Win9x/Win2000/WinXP/Win2003

技术特点：
　　1、传染条件:
　　利用邮件高速传播。
　　2、发作条件:
　　检查计算机日期，如果当前日期是在2004年3月25日之后，病毒将卸载自己并退出。

　　3、系统修改:
　　A、如果病毒在系统目录（%system%)被激活，他会运行记事本，以迷惑用户。
　　B、自我复制到系统目录
　　%system%\i1ru74n4.exe

　　D、在系统目录中创建以下文件
　　%system%\godo.exe 病毒用于发邮件的模块
　　%system%\ii455nj4.exe 用于调用godo.exe
　　%system%\i1ru74n4.exeopen 病毒的ZIP压缩包文件

　　E、使用线程注入的方法将后门程序的模块注入到系统进程explorer.exe中，以便隐藏执行；

　　F、添加以下键值
　　"rate.exe"="%System%\i1ru74n4.exe"
　　到
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　以便病毒可随机自启动；

　　G、添加以下键值
　　"uid"="<随机数值>"
　　"port"="2745"
　　"frun"="1"
　　到
　　HKEY_CURRENT_USER\SOFTWARE\DateTime4
　　该键值是病毒作者用于记录病毒信息；

　　H、打开TCP端口2745监听，允许黑客进行一个未授权的访问；

　　I、向以下站点的80端口发送HTTP Get请求
　　permail.uni-muenster.de
　　www.songtext.net/de
　　www.sportscheck.de
　　该GET请求包含被感染机器的监听端口，注册表键值"uid"中纪录的ID号。在连接web服务器时，其IP地址也被发送。

　　J、搜索以下指定后缀名的文件，查找其中的电子邮件地址，用于发送病毒邮件：
　　.wab、.txt、.htm、.html、.dbx、.mdx、.eml、.nch、.mmf、.ods、.cfg、
.asp、.php、.pl、.adb、.sht

　　K、病毒使用自己的发信引擎大量发送病毒邮件，其特征如下：

　　发件人: (使用搜索到的任意邮件地址)
　　主题: (可以是以下字符串中)
　　Accounts department ;Ahtung! ;Camila ;Daily activity report ;Ello! ;
Flayers among us ;Freedom for everyone ;From Hair-cutter ;From me ;
Greet the day ;Hardware devices price-list ;Hello my friend ;Hi! ;Jenny ;
Jessica ; Looking for;the report ; Maria ;Melissa
;Monthly incomings summary ;New Price-list ;Price ;Price list ;
Price-list ; Pricelist ; Proclivity to servitude ;
Registration confirmation ;The account ; The employee ;The summary ;
USA ;overnment abolishes the capital punishment ;
Weekly activity report ;Well... ;You are dismissed ;
You really love me? he he

　　内容:
　　Subj
　　Request
　　Empty
　　Response
　　Everything inside the attach
　　Look it through
　　Cya

　　附件名: <随机字符串>.exe 并打包到一个zip文件中

　　该病毒不向包含以下域名或邮件地址名的的邮件地址发送病毒邮件：
　　.gr ;@hotmail.com ;@msn.com ;@microsoft ;@avp. ;noreply ; local ;
root@ ;postmaster@

　　4、发作现象:
　　病毒主程序使用“记事本”文件的图标，如下图：
　　　　

解决方案:
　　A、金山毒霸已经于3月1日对该病毒进行了应急处理，请升级最新版可完全查该病毒；

　　B、请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注意病毒程序伪装的图标，不要轻信图标为“记事本、文本文件、文件夹”的附件。

　　C、该病毒不易手工清楚，会造成清楚不干净的现象，请升级毒霸到2004年3月1日的病毒库可处理该病毒。如没有安装金山毒霸，可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的入侵；或可以选择登录到http://www.duba.net下载“恶鹰”专杀工具，以防止该病毒的肆虐。金山公司的为广大用户提供反病毒咨询，求助热线为：010-82326868。