Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Beagle.37964

(W32/Bagle@MM!vbs, Parser error, TR/Crypt.CFI.Gen, Win32.Bagle.Z1@mm, Win32.Bagle.AJ@mm, MemScan:Win32.Worm.Bagle.Dam, Win32.Bagle.Z@mm, Worm/Bagle.AA.HTA, Worm:Win32/Bagle.AA@mm, W32/Bagle.dll.gen, Email-Worm.Win32.Bagle.am, I-Worm/Bagle.BA, Win32.Worm.Bagle.z.dr, Email-Worm.Win32.Bagle.z, Mal_Banker, WORM_Bagle.GEN, W32/Bagle.fb@MM, Win32/Bagle.Z@mm!dr, Worm/Bagle.BF.2, W32/Bagle.aa@MM, WORM_BAGLE.Z, I-Worm/Bagle.AB)

Добавлен в вирусную базу Dr.Web: 2004-04-28

Описание добавлено:

Описание

Win32.HLLM.Beagle. - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован компрессионной утилитой UPX.
Распространяется по электронной почте и файлообменным сетям. В некоторых случаях приходит на компьютер в виде Zip-архива.
В пораженной системе открывает порт TCP\\ 2535, что приводит к компрометации компьютера-жертвы.
Червь останавливает процессы, принадлежащие программам, связанным с обеспечением компьютерной безопасности. Удаляет из системного реестра данные.

Запуск вируса

Чтобы обеспечить свой запуск в пораженной системе червь вносит данные
drvddll.exe = \"%SysDir%\\drvddll.exe\"
в реестровую запись
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

Распространение

В поисках почтовых адресов червь сканирует диски компьютера. Ревизии подвергаются файлы со следующими расширениями:

    
       .wab
    
       .txt
    
       .msg
    
       .htm
    
       .shtm
    
       .stm
    
       .xml
    
       .dbx
    
       .mbx
    
       .mdx
    
       .eml
    
       .nch
    
       .mmf
    
       .ods
    
       .cfg
    
       .asp
    
       .php
    
       .pl
    
       .wsh
    
       .adb
    
       .tbb
    
       .sht
    
       .xls
    
       .oft
    
       .uin
    
       .cgi
    
       .mht
    
       .dhtm
    
       .jsp
    
       
Из списка рассылки исключаются адреса, в которых присутствуют следующие строки:
    
    @microsoft
    
    rating@
    
    f-secur
    
    news
    
    update
    
    anyone@
    
    bugs@
    
    contract@
    
    feste
    
    gold-certs@
    
    help@
    
    info@
    
    nobody@
    
    noone@
    
    kasp
    
    admin
    
    icrosoft
    
    support
    
    ntivi
    
    unix
    
    bsd
    
    linux
    
    listserv
    
    certific
    
    sopho
    
    @foo
    
    @iana
    
    free-av
    
    @messagelab
    
    winzip
    
    google
    
    winrar
    
    samples
    
    abuse
    
    panda
    
    cafee
    
    spam
    
    pgp
    
    @avp.
    
    noreply
    
    local
    
    root@
    
    postmaster@
    
       
Тема сообщения выбирается из следующего списка:
    
    Re: Msg reply
    
    Re: Hello
    
    Re: Yahoo!
    
    Re: Thank you!
    
    Re: Thanks :)
    
    RE: Text message
    
    Re: Document
    
    Incoming message
    
    Re: Incoming Message
    
    RE: Incoming Msg
    
    RE: Message Notify
    
    Notification
    
    Changes..
    
    New changes
    
    Hidden message
    
    Fax Message Received
    
    Protected message
    
    RE: Protected message
    
    Forum notify
    
    Site changes
    
    Re: Hi
    
    Encrypted document
    
       

Текст сообщения присутствует во вредоносном послании только в том случае, если приходящее на компьютер письмо снабжено вложением в формате WinZip. Тогда текст сообщения будет выбираться из следующего списка:

    
       For security reasons attached file is password protected. The password is
    *

For security purposes the attached file is password protected. Password *

Note: Use password * to open archive.

Attached file is protected with the password for security reasons. Password is *

In order to read the attach you have to use the following password: *

Archive password: *

Password - *

Password: *
где * - пароль к архиву, состоящий из пяти цифр.

Вложение:

    
    Information
    
    Details
    
    text_document
    
    Readme
    
    Document
    
    Info
    
    the_message
    
    Details
    
    MoreInfo
    
    Message
    
    You_will_answer_to_me
    
    Half_Live Counter_strike
    
    Loves_money the_message
    
    Alive_condom
    
    Joke Toy
    
    Nervous_illnesses
    
    Manufacture
    
    You_are_dismissed
    
    Your_complaint
    
    Your_money
    
    Smoke
    
    I_search_for_you
    
    
Расширение вложения может быть .exe, .scr, .com, zip, vbs, .hta или .cpl. Если пришедшее вложение - Zip-архив, внутри его будет находится файл с именем из случайного набора символов расширением .exe. Также внутри вложения может быть еще один файл, расширение которого .sys, dat, idx, vxd, vid или .dll.

Червь также способен распространяться по разделяемым ресурсам. Он осуществляет поиск директорий, в названиях которых присутствуют символы \"shar\" и копирует себя в них в виде файлов со следующими названиями:

    
       Microsoft Office 2003 Crack, Working!.exe
    
       Microsoft Windows XP, WinXP Crack, working Keygen.exe
    
       Microsoft Office XP working Crack, Keygen.exe
    
       Porno, sex, oral, anal cool, awesome!!.exe
    
       Porno Screensaver.scr Serials.txt.exe
    
       KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe
    
       Windows Sourcecode update.doc.exe
    
       Ahead Nero 7.exe
    
       Windown Longhorn Beta Leak.exe
    
       Opera 8 New!.exe
    
       XXX hardcore images.exe
    
       WinAmp 6 New!.exe
    
       WinAmp 5 Pro Keygen Crack Update.exe
    
       Adobe Photoshop 9 full.exe
    
       Matrix 3 Revolution English Subtitles.exe
    
       ACDSee 9.exe