阳春三月，情人节的激情已经平息。名称为“恶鹰”的蠕虫病毒竟然先后出现12个变种，肆虐计算机网络，中招的用户不计其数。某位女性网友这样感慨：“情人节前后，中的病毒比男友们送的玫瑰还多！”

    该家族的病毒无一例外地利用电子邮件疯狂的发送带毒邮件。而且包含一个后门程序，监听指定的TCP端口，等待黑客的链接。大量的病毒垃圾邮件造成邮件服务负重过大，使其极不稳定，甚至造成瘫痪，严重影响工作。病毒在系统中留下的后门，更加大了系统的隐患，降低了系统的完全性。如果别有用心的人通过病毒留下的后门安装用于盗窃密码的木马的话，将会对网络用户造成的经济上的损失。

    下面，瑞星病毒分析工程师将为您揭示该病毒家族的“原型”。从病毒的繁衍过程中，网民朋友们或许能掌握点防毒的的窍门。

    恶鹰（Worm.Bbeagle）病毒

    该病毒是第一版，采用Windows的计算器“calc.exe”的图标。病毒实现驻留系统、发信和开辟后门。

     天底下的病毒对电脑的爱都是“永恒”的，不过有趣的是，该病毒的作者还给它的病毒做了一个自杀功能：当前系统时间为2004年1月28日时，病毒会自动删除自己。

    一般的病毒会采用一个互斥量阻止自家病毒重复运行。本意是减少资源占用，防止用户发觉。这个方法有个副作用：如果旧版本病毒在跑，新版本的就没有运行机会，这可以说是病毒作者的一个疏忽。

     病毒运行时会疯狂地搜索磁盘上的文件，试图从下列文件中提取邮件地址，发送携带病毒的邮件：'.wab'、'.txt'、'.htm'、'.html'，当然，病毒也“怕硬”，它会对某些邮件地址如： @hotmail.com、@msn.com、@microsoft、@avp进行屏蔽。

    恶鹰变种B（Worm.Bbeagle）

    该病毒的不同之处是自杀日期定于 2004年2月25日。采用计算器Windows的录音机的图标，即黄色的小喇叭。

    恶鹰变种C( Worm.BBeagle.c)

    该病毒的自杀日期定于 2004年3月14日。采用绿色的Exel文档图标，名称为“readme.exe”，除此之外，病毒还在这个版本中进行了大刀阔斧地改进，改进如下：

     1.改进了驻留系统的方式。事实上，前两个版本的病毒在向外发信时，可以被所有的防火墙拦截下来。谨慎的用户可以察觉，并向反病毒公司反映。从这个版本起，病毒直接杀入系统进程中。这样，开辟后门、发送邮件和其他网络连接以系统程序的名誉进行。防火墙有时也抓住。但是，用户一看，发信程序是系统的，也大都将信将疑地放行了！

     2.病毒主动攻击，终止几十种流行反病毒软件。

    瑞星杀毒软件未在病毒黑名单中。看来，用老外不了解的反病毒软件无形中会成为对付病毒的“杀手锏”。

     3. 扩大搜索范围，加快传播速度。病毒运行时会搜索下列后缀的文件：     wab,txt,htm,html,dbx,mdx,eml,nch,mmf,ods,cfg,asp,php,pl,adb,sht。

     4.  将发信人伪装成：postmaster@ 、root@，将邮件标题伪装成：“New Price-list”、 “Proclivity to servitude”、“You are dismissed”等字样。

    恶鹰变种D（Worm.BBeagle.C）

    该病毒基本类似“恶鹰变种C”，只是将自杀日期改成：2004年3月14日

    恶鹰变种E（Worm.BBeagle.E）

    基本类似恶鹰变种D病毒，将自杀日期变为：2004年3月25日，另外，病毒会将邮件正文伪装成下列字眼：“Everything inside the attach”、“Look it through”。

    恶鹰变种F（Worm.BBeagle.f）

    该病毒的自杀日期也是 2004年3月25日，但是，从这个版本开始，病毒采用了新的迷惑手段。

    1. 采用Windows XP 标准文件夹图标。

       搜索具有“shar”字眼的文件夹，把自身拷贝17份过去，分别以最流行的应用程序命名。如：“Microsoft Office 2003 Crack, Working!.exe ”、“WinAmp 6 New!.exe” 、“Adobe Photoshop 9 full.exe”、“ACDSee 9.exe”，由于病毒看上去是个文件夹，几乎人见人“点”。在学校、公司等共享资源的局域网内传播非常迅速。

    2. 放弃把病毒exe文件作为附件的老套做法，不辞辛苦地改造病毒附件为压缩文件，还煞有介事的加上密码。在邮件正文给出来，“password for archive”、“archive password:”、“password:”，密码随机。事实上，如果病毒不加密码，能力强的反病毒软件通过查杀“未知邮件”的方式查杀病毒。即使用户不升级，病毒的变种照样被查杀；有经验的用户看到附件是exe、scr、pif文件，顿时会提高警惕性。病毒作者可能意识到了这两点，干脆把附件加密，反而不像病毒了，以此躲过灭门之灾。

     3. 病毒体内保留了若干份邮件正文的模版。根据邮件地址中包含的服务器名称，发出的信件很正式，很不像带毒邮件。

如下所示：

Dear  user, the management  of 163.com mailing  system wants to let you know that,Our antivirus  software has detected a large ammount of  viruses  outgoing from your  email account, you  may  use our free  anti-virus tool to clean up your computer software.
Please, read the attach for further details.
For security reasons attached file is password protected. The password is  "50230".

Kind regards,
    The 163.com team                      http://www.163.com

    后来的变种

    前面的变种写的很成功，病毒作者狂出新变种，但后来的：Worm.BBeagle.g 、Worm.BBeagle.h 、Worm.BBeagle.i、Worm.BBeagle.j、Worm.BBeagle.k、Worm.BBeagle.l基本上类似Worm.BBeagle.f ，自杀日期也是 2004年3月25日。

    另外，值得一提的是，该病毒作者和“Netsky”作者伤了和气，发生口角，文本有这样的话：“Hey, NetSky, fuck off you bitch!”。于是双方纷纷写新的变种，互相厮杀，也刺激了三月初病毒的泛滥。

    结束语：

    虽然该病毒作者已经将恶鹰目前最后一个变种病毒的自杀时间定到了3月25日，但是，只有时间知道，2004年3月25日以后，“恶鹰”会给互联网带来什么。