Worm_Bbeagle.AI

其它命名：Win32.Bagle.AI（CA）

Worm.Beagle.ai（金山）

WORM_BAGLE.AH（Trend）

Win32/Bagle.AH.Worm

I-Worm.Bagle.ai（Kaspersky）

W32/Bagle.ai@MM （McAfee）

W32.Beagle.AG@mm （Symantec）

Worm.Bbeagle.ao（瑞星）

W32/Bagle-AI （Sophos）

病毒以染毒郵件的附屬檔案形式到達，需要用戶手工運行才能發作和傳播。病毒附屬檔案可能是一個帶有口令的.ZIP檔案，其密碼就在郵件之中，或者是擴展名為.EXE， .SCR，.COM或.CPL的檔案。提醒用戶遇到此類郵件不要打開，應立即刪除。病毒運行後在系統資料夾下生成多個病毒檔案，修改註冊表，以達到自啟動的目的。另外，病毒可通過網路共享進行傳播，終止一些安全相關的軟體的運行，同時具有後門功能。

1、生成病毒檔案

該病毒運行後可常駐記憶體，並在%system%資料夾中生成多個自身拷貝，名稱如下：winxp.exe

winxp.exeopen

winxp.exeopenopen

winxp.exeopenopenopen

winxp.exeopenopenopenopen

（其中，%System%在Windows 95/98/Me 下為C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows XP下為 C:\Windows\System32）

2、修改註冊表

病毒修改註冊表，以達到隨系統啟動而自動運行的目的，在

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version

\Run下創建：

key = "%System%\winxp.exe"

3、刪除註冊表鍵值

病毒從註冊表的以下目錄中刪除一些包含特定字元的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

包含的特定字元如下：

9XHtProtect

Antivirus