“恶鹰”变种H（Worm.Beagle.H），蠕虫病毒。该蠕虫病毒感染系统后，会主动关闭系统中运行的大部分反病毒软件及其升级程序，在系统中查找Email地址并向这些地址发送带有病毒附件的邮件，并将系统信息向外发送，可能造成用户的间接经济损失，并使系统性能下降或极不稳定，还会造成网络堵塞。以下是该病毒的详情：

　　目录：· 病毒信息 　 · 技术特点 　 · 解决方案

　　病毒信息：

　　病毒名称:Worm.Beagle.H
　　中文名称: “恶鹰”变种H
　　威胁级别: 3B
　　病毒别名: 贝革热、雏鹰
　　　　　　　 W32/Bagle.h@MM [McAfee]
　　　　　　　 W32/Bagle-H [Sophos]
　　　　　　　 I-Worm.Bagle.Gen [Kaspersky]
　　　　　　　 WORM_BAGLE.H [Trend]
　　病毒类型: 蠕虫、木马
　　受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　技术特点：

　　· 传染条件：利用电子邮件高速传播；

　　· 系统修改：

　　　 A、将病毒自身拷贝到 %System%\i11r54n4.exe；

　　　 B、创建以下文件
　　　 　 %System%\go154o.exe
　　　 　 %System%\i1i5n1j4.exe

　　　 C、在注册表的主键:
　　　 　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　 　 中添加如下键值:
　　　 　 "rate.exe"="%System%\i11r54n4.exe"
　　　 　 以便该病毒在每次重启 Windows 时运行

　　　 　 在注册表的主键:
　　　 　 HKEY_CURRENT_USER\SOFTWARE\winword
　　　 　 中添加如下键值:
　　　 　 "frun"="1" ；

　　　 D、创建一个名为 imain_mutex 的互斥量，保证每次只运行一个蠕虫实例；

　　　 E、将 go54o.exe 作为一个 DLL 注入到 explorer.exe 的地址空间；

　　　 F、打开TCP端口，以便黑客连接，端口号为 2745；

　　　 G、 向以下站点的80端口发送Get请求
　　　 　 http://postertog.de/scr.php
　　　 　 http://www.gfotxt.net/scr.php
　　　 　 http://www.maiklibis.de/scr.php

　　　 G、 尝试关闭以下反病毒软件的程序进程：
　　　 　 Atupdater.exe
　　　 　 Aupdate.exe
　　　 　 Autodown.exe
　　　 　 Autotrace.exe
　　　 　 Autoupdate.exe
　　　 　 Avltmain.exe
　　　 　 Avpupd.exe
　　　 　 Avwupd32.exe
　　　 　 Avxquar.exe
　　　 　 Cfiaudit.exe
　　　 　 Drwebupw.exe
　　　 　 Icssuppnt.exe
　　　 　 Icsupp95.exe
　　　 　 Luall.exe
　　　 　 Mcupdate.exe
　　　 　 Nupgrade.exe
　　　 　 Outpost.exe
　　　 　 Update.exe

　　　 I、在本地磁盘扫描具有以下扩展名的文件，以收集邮件地址。
　　　 　 .wab
　　　 　 .txt
　　　 　 .htm
　　　 　 .html
　　　 　 .dbx
　　　 　 .mdx
　　　 　 .eml
　　　 　 .nch
　　　 　 .mmf
　　　 　 .ods
　　　 　 .cfg
　　　 　 .asp
　　　 　 .php
　　　 　 .pl
　　　 　 .adb
　　　 　 .sht

　　　 J、用自带的smtp引擎发送邮件。

　　　 　 邮件主题从以下段落中选择一个：
　　　 　 Hokki =)
　　　 　 Weah, hello! :-)
　　　 　 Weeeeee! ;)))
　　　 　 Hi! :-)
　　　 　 ello! =))
　　　 　 Hey, ya! =))
　　　 　 ^_^ meay-meay!
　　　 　 ^_^ meay-meay!
　　　 　 ^_^ mew-mew (-:

　　　 　 邮件内容从以下段落中选择一个：
　　　 　 Hey, dude, it's me ^_^ :P
　　　 　 Argh, i don't like the plaintext :)
　　　 　 I don't bite, weah!
　　　 　 Looking forward for a response :P

　　　 　 如果该邮件带有密码保护的附件，那么正文中还会有如下的字符串：
　　　 　 btw <随机字符串> is a password for archive

　　　 　 邮件附件名从以下字符串中选择一个:
　　　 　 TextDocument
　　　 　 Readme
　　　 　 Msg
　　　 　 Msginfo
　　　 　 Document
　　　 　 Info
　　　 　 Attachedfile
　　　 　 Attacheddocument
　　　 　 TextDocument
　　　 　 Text
　　　 　 TextFile
　　　 　 Letter
　　　 　 MoreInfo
　　　 　 Message

　　　 　 邮件附件后缀为：
　　　 　 .zip　　　

　　　 K、该蠕虫将不会往含以下字段的邮件地址发送邮件：
　　　 　 .gr
　　　 　 @hotmail.com
　　　 　 @msn.com
　　　 　 @microsoft
　　　 　 @avp.
　　　 　 noreply
　　　 　 local
　　　 　 root@
　　　 　 postmaster@

　　　 L、该病毒为了可以在文件共享网络传播，如：KaZaA 和 iMesh, 它查找含有字符串"shar"的共
　　　 　 享文件夹将其自己拷贝进去，文件名在以下字符串中选择一个：
　　　 　 ACDSee 9.exe
　　　 　 Adobe Photoshop 9 full.exe
　　　 　 Ahead Nero 7.exe
　　　 　 Matrix 3 Revolution English Subtitles.exe
　　　 　 Microsoft Office 2003 Crack, Working!.exe
　　　 　 Microsoft Office XP working Crack, Keygen.exe
　　　 　 Microsoft Windows XP, WinXP Crack, working Keygen.exe
　　　 　 Opera 8 New!.exe
　　　 　 Porno pics arhive, xxx.exe
　　　 　 Porno Screensaver.scr
　　　 　 Porno, sex, oral, anal cool, awesome!!.exe
　　　 　 Serials.txt.exe
　　　 　 WinAmp 5 Pro Keygen Crack Update.exe
　　　 　 WinAmp 6 New!.exe
　　　 　 Windown Longhorn Beta Leak.exe
　　　 　 Windows Sourcecode update.doc.exe
　　　 　 XXX hardcore images.exe

　　解决方案:

　　·金山毒霸已经于3月4日对该病毒进行了应急处理，请升级最新版可完全查该病毒；

　　· 请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注
　　　 意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件；

　　· 该病毒不易手工清楚，会造成清楚不干净的现象，请升级毒霸到2004年3月2日的病毒库可处理
　　　 该病毒。
　　　 如没有安装金山毒霸，可以登录http://online.kingsoft.net使用金山毒霸在线杀毒或是金
　　　 山毒霸下载版来防止该病毒的入侵； 或可以选择登到录
　　　 http://www.duba.net/download/3/104.shtml下载“恶鹰”专杀工具，防止该病毒的肆虐。
　　　 金山公司的为广大用户提供反病毒咨询，求助热线为：010-82326868 。