病毒別名: I-Worm.Bagle [Kaspersky], WORM_BAGLE.A [Trend], W32.Beagle.A@mm [symantec]
病毒類型: 蠕蟲
受影響系統: Win9x/NT/Win2000/WinXP
威脅級別: 中
能處理的毒霸版本: 2004.01.19
編寫工具: 匯編
傳染條件:
該蠕蟲從擴展名為: WAB; TXT; HTM; HTML
中搜索電子郵件地址, 然后將自身作為附件發送到收集到的郵件地址, 不向下列郵箱發送郵件:
@hotmail.com; @msn.com; @microsoft; @avp
在1月28號后停止發作. 該蠕蟲自帶了一個smtp引擎進行傳播, 其發送郵件的格式如下:
郵件主題: Hi

郵件內容:
　　Test =)
　　<隨機生成的一些字符>
　　--
　　Test, yep.

附件名稱: <隨機名稱>.exe
附件大小: 16K

發作條件:
1月28號后停止發作.

系統修改:
　　<1>拷貝文件 %system%\bbeagle.exe
　　<2>在注冊表寫入下列鍵值, 使得病毒在系統啟動時自動運行:
　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　　d3dupdate.exe = "%System%\bbeagle.exe"

　　　HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
　　　d3dupdate.exe = "%System%\bbeagle.exe"
　　<3>為了使病毒持續活動,在注冊表寫入下列鍵值;
　　　HKEY_USERS\%SystemInfo%\Software\Windows98
　　　Uid = <隨機數值>

　　　HKEY_USERS\%SystemInfo%\Software\Windows98
　　　Frun = %SystemInfo%

　　　注: %SystemInfo%指系統信息, 如: Class ID 或用戶名等.

發作現象:
　　由于附件的圖標根windows自帶計算器圖標相似, 容易使用戶上當, 當用戶運行病毒后, 病毒先運行自身, 然后再運行windows自帶計算器, 因此具有一定的欺騙性. 病毒此時在后臺運行搜索郵件地址, 發送郵件等.

特別說明:
　　病毒自帶了smtp引擎, 因而可以比較隨意的以匿名方式發送郵件.
　　該病毒會在用戶機器上建立一個后門，監聽6777端口，使攻擊者可以在用戶機上執行他傳來的任意程序。

其他細節:
　　病毒為了更新會嘗試連接下面的網站:

　　http://www.elrahop.de/1.php
　　http://www.itmsc.de/1.php
　　http://www.getorfree.net/1.php
　　http://www.dmsign.de/1.php
　　http://64.1.228.13/1.php
　　http://www.leonzenitsky.com/1.php
　　http://216.98.6.248/1.php
　　http://216.98.4.247/1.php
　　http://www.cdroma.com/1.php
　　http://www.kunstin-templin.de/1.php
　　http://vipwe.ru/1.php
　　http://antolco.ru/1.php
　　http://www.bagsdostavka.mags.ru/1.php
　　http://www.512.ru/1.php
　　http://boseaudio.net/1.php
　　http://www.stngdata.de/1.php
　　http://wh9.tudresden.de/1.php
　　http://www.mionuke.net/1.php
　　http://www.stahagen.org/1.php
　　http://www.beastycars.de/1.php
　　http://www.poloexe.de/1.php
　　http://www.bi88.de/1.php
　　http://www.grefathpaenz.de/1.php
　　http://www.bhaidy.de/1.php
　　http://www.mystivws.de/1.php
　　http://www.autohobby-essen.de/1.php
　　http://www.pozicke.de/1.php
　　http://www.twrmusic.de/1.php
　　http://www.scerbendorf.de/1.php
　　http://www.montia.de/1.php
　　http://www.medmartin.de/1.php
　　http://vvgn.de/1.php
　　http://www.ballonoto.com/1.php
　　http://www.mardergmbh.de/1.php
　　http://www.dvdfilme.com/1.php
　　http://www.seangol.com/1.php
　　病毒為了獲得遠程連接, 它會對端口進行掃描.

解決方案:
　　1>升級毒霸病毒庫到最新, 進行全盤查殺即可.
　　2>手工清除:
　　　<1>終止惡意程序:
　　　打開windows任務管理器.
　　　在windows95/98/ME系統中, 按CTRL+ALT+DELETE
　　　在Windows NT/2000/XP 系統中, 按CTRL+SHIFT+ESC, 然后點擊進程選項卡.
　　　在運行程序列表中, 找到進程:
　　　bbeagle.exe
　　　選擇惡意程序進程, 然后點擊結束任務或結束進程按鈕（取決于windows的版本).
　　　為了檢查惡意程序是否被終止, 關掉任務管理器, 然后再打開.
　　　關掉任務管理器.
　　*注意: 在運行windows95/98/ME的系統中, 任務管理器可能不會顯示某一進程. 可以使用其他進程查看器來終止惡意程序進程. 否則, 繼續處理下面的步驟, 注意附加說明.

　　　<2>刪除注冊表中的自啟動項目:
　　　從注冊表中刪除自動運行項目來阻止惡意程序在啟動時執行.
　　　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter
　　　在左邊的面板中, 雙擊:
　　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　　在右邊的面板中, 找到并刪除如下項目:
　　　d3dupdate.exe = "%System%\bbeagle.exe"
　　注意: %System%是Windows的系統文件夾, 在Windows 95, 98, 和ME系統中通常是 C:\Windows\System, 在WindowsNT和2000系統中是:WINNT\System32, 在Windows XP系統中是C:\Windows\System32.
　　　在左邊的面板中, 雙擊:
　　　HKEY_USERS>%SystemInfo%>Software>Microsoft>Windows>CurrentVersion>Run
　　　在右邊的面板中, 找到并刪除如下項目:
　　　d3dupdate.exe = "%System%\bbeagle.exe"
　　　注意: %SystemInfo% 是指系統信息, 例如Class ID或用戶名.
　　　注意: 如果不能按照上述步驟終止在內存中運行的惡意進程, 請重啟系統.

　　<3>刪除注冊表中的其他惡意項目

　　　如下是刪除注冊表中其他惡意項目的說明.

　　　仍舊在注冊表編輯器中, 在菜單條中點擊編輯>查找, 在文本領域中輸入揢id?, 點擊查找下一個.
　　　當像如下鍵值出現時, 刪除鍵值和數據:
　　　HKEY_USERS\%SystemInfo%\Software\Windows98
　　　在菜單條中點擊編輯>查找, 在文本領域中輸入run?, 點擊查找下一個.
　　　當像如下鍵值出現時, 刪除鍵值和數據:
　　　HKEY_USERS\%SystemInfo%\Software\Windows98
　　　關閉注冊表編輯器.

原文轉自：http://www.kjueaiud.com