恶鹰变种动矛，使系统反应明显变慢，它会伪造amp，acdsee，斤留指矿photoshop等。方法是看受的邮件附件里有无com，exe，scr.cpl的程序，有立刻杀死。

• 中文名 恶鹰变种
• 外文名 Worm.Bbeagle.q
• 病毒大小 26,557字节
• 病毒类型 蠕虫病毒
• 病毒依赖系统 Windows 9X/NT/2000/XP

病毒评估

　　1．病毒中文名：恶鹰

　　2．病毒英文名：Worm.Bbeagl来自e.q

　　3．病毒大小：26,557字节

　　4．病毒类型：蠕虫病毒

　务至委　5．病毒危险等级：★★★★

　　6．病毒传播途径：网络,文件感染

　　7．病毒依赖系统：Window升击决情古上滑素易形s 9X/NT/2000/XP

病毒的破坏

　　病毒建立两个服务线程分别监听81和2556端口，给系统留后门，数油轴队找至被更并驻留内存不断对磁盘进行遍历，进行邮件传播，文件感染，大大降低系统性能。

病来自毒报告

　　UPX压缩，V远C++6.0编写，蠕虫。一旦360百科执行，病毒将自我复粮科广饭给站冷达酒使触制到系统文件夹.

　　文件名为：direct.exe及direct.exeopen

　　它将创建下列注册表键值来使自己随Windows系统自启动：

　　HKCU\Software\Microsoft居十散井第吸\Windows\CurrentVersion\Run

　　" direct.exe "="%SYSDIR%\ direct.exe"

　　病毒将删除一些注册表键值：

　　HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\R负un

　　及HKEY奏型拉妒应棉_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\整适露正复部剂Run

　　下的以下键：

　　导打笑老主My AV,Zone Labs Client Ex,9XhtProtect,An行tivirus,Special Firewall Service尔兴爱排未报行若明二行,service

　　Tiny AV,ICQNet,HtProtect,NetDy,ICQ Net

　　监视：

　　病毒建立一个线程，对系统进行监控。杀死进程名和体内“黑名单”中相符的进程。

　　以下是病毒体内的进程“黑名单”

　　CMGRDIAN.EXE,CMON016.EXE,CPF9X206.EXE,CPFNT206.EXE,CWNB河少做货而富都善作181.EXE,

　　CWNTDWMO.EXE,FP-WIN_TRIAL.EXE,FSAV.EXE,ICLOAD95.EXE,ICLOADNT.EXE,HACKTRACERSETUP.适站系太鸡EXE,KAVLITE40ENG.EXE,AUPDATE.EXE三往似养创立灯希似,HWPE.EXE等等..

　读虽务引比　邮件，PE文件传播：

　　病毒遍历系统磁盘，当发现扩展名为：.wab,.txt,.msg,.htm,.shtm,.stm,.xml,.dbx,

　　.mbx,.mdx,.eml,.nch,.mmf,.ods,.cfg,.asp,.php,.pl,.wsh,.adb,次.tbb,.sht,.xls,.oft,.uin,

　　.cgi,.mht,.dhtm,.jsp时病毒将打开该文件并尝试从中提取email地址并美山话剧离提益艺益少向该地址发送带

　　毒邮件。

　　当扩扩展名为：.exe的病毒将木化格图简还管里赵安记尝试对其进行文件感染。

　　统意集济火抗境量呼末妈在遍历过程中，当目录名存在“shar”字串时，病毒将自己复制到该目录下，文件名为

　　：Microsoft Office 2003 Crack,Working!.exe,Microsoft Windows XP,WinXP Crack,working Keygen.exe,Microsoft Office XP working Crack,Keygen.exe,Porno,sex,oral,anal cool,awesome!!.exe圆标制九角,Porno Screensaver.scr,Serials.txt.exe,Porno pics arhive,xxx.exe,Windows Sourcecode update.doc.exe,Ahead Nero 7.exe,Windown Longhorn Beta Leak.exe,Opera 8 New!.exe,XXX hardcore images.exe,WinAmp 6 New!.exe,WinAmp 5 Pro Keygen Crack Update.exe,Adobe Photoshop 9 full.exe,Matrix 3 Revolution English Subtitles.exe…..

　　邮件特征：

　　包含以下字串：

　　RE: Text message，Re: Document，Incoming message，Re: Incoming Message，RE: Protected message，Forum notify，Site changes，Encrypted document，Re: Hi，E-mail warning，

　　Notify about your e-mail account utilization.，Notify from e-mail technical support.，

　　附件为一个：加了密的zip文件（病毒）

　　邮件还将附上zip文件的密码（一个病毒生成的bmp图）

　　后门线程：

　　病毒监听81端口接，向联接上来的客户端发送以下脚本。

　　病毒监听：

　　监听2556端口接受一些客户端传来的特定命令。

　　注：病毒将在2005年12月31日以后失去传播能力，病毒将自我删除。

病毒解决方案

　　⒈进行升级

　　瑞星公司将于当天进行升级，升级后的软件版本号为16.18.30，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。

　　⒉使用专杀工具

　　鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到：http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载，并进行该病毒的清除。

　　⒊使用在线杀毒和下载版

　　用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆网址：http://go.rising.com.cn/来使用下载版产品。

　　⒋打电话求救

　　如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

　　⒌手动清除

　　⑴打开注册表编辑器，删除如下键值<如果存在的话>:

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run

　　" direct.exe"="%SYSDIR%\ direct.exe"

　　⑵打开任务管理器查看是否存在进程名为： direct.exe终止它

　　⑶将%SYSDIR%目录下的文件： direct.exe删除

　　注：%SYSDIR%位Windows系统的安装目录，在Windows 9X/ME/XP下默认为：C:\WINDOWS\SYSTEM,Win2K下默认为：C:\WINNT\SYSTEM32。

安全建议

　　⒈建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

　　⒉关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

　　⒊经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

　　⒋使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

　　⒌迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

　　⒍了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

　　⒎最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。