Описание
Win32.HLLM.Beagle.28160 - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Представляет из себя исполняемый модуль, упакованный компрессионной утилитой UPX, длина упакованного файла - 15 872 байта. Может распространяться по электронной почте в виде zip-архива длиной 15 944 байта.
Запуск вируса
Будучи запущенным в системе, червь прописывает ссылку на себя в
системном реестре:
HKEY_LOCAL_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
\"gouday.exe\" = \"%SysDir%\\readme.exe\",
обеспечивая таким образом свой последующий запуск при старте
последующих Windows-сессий.
Распространение
Червь распространяется по электронной почте, рассылая себя с зараженного компьютера с помощью протокола SMTP, реализованного в его коде. Исполняемый модуль червя рассылается в виде вложенного в письмо zip-архива с произвольным именем. Адреса для рассылки червем своих копий берутся им из файлов на компьютере жертвы, имеющих следующие расширения:
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
При этом исключаются адреса, содержащие в себе следующие
последовательности символов:
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
Тема письма, с которым червь себя рассылает, может быть одной из
следующего списка:
Price
New Price-list
Hardware devices price-list
Weekly activity report
Daily activity report
Maria
Jenny
Jessica
Registration confirmation
USA government abolishes the capital punishment
Freedom for everyone
Flayers among us
From Hair-cutter
Melissa
Camila
Price-list
Pricelist
Price list
Hello my friend
Hi!
Well...
Greet the day
The account
Looking for the report
You really love me? he he
You are dismissed
Accounts department
From me
Monthly incomings summary
The summary
Proclivity to servitude
Ahtung!
The employee
Действия
Будучи запущенным, червь создает свою копию в системной директории Windows, а также размещает несколько дополнительных файлов в той же директории:
Процедура-люк, запускаемая червем, содержит еще одну деструктивную особенность - она фактически блокирует запуск различных приложений, обновляющих вирусные базы антивирусных программ:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE
Обращаем внимание, что в этом списке присутствует штатная утилита
обновления антивируса Dr.Web (DRWEBUPW.EXE), что затрудняет
обезвреживание червя антивирусными средствами. В случае, если запуск утилиты
обновления невозможен, рекомендуем удалить из системного реестра запись,
ссылающуюся на копию червя (см.выше), после чего произвести перезапуск
системы - в этом случае утилита обновления будет нормально стартовать.
Кроме того, процедура-люк пытается соединиться со следующими интернет-сайтами:
http: // permail.uni-muenster.de/
http: // www. songtext.net/de/
http: // www. sportscheck.de/
и передать PHP-приложению на этих сайтах номер открытого порта и ID
зараженной системы.В случае, если системная дата на зараженном компьютере равна 14 марта или больше, червь завершает свою деятельность.
