Описание
Win32.HLLM.Beagle. - почтовый
червь
массовой рассылки. Поражает компьютеры под
управлением операционных
систем
Windows 95/98/Me/NT/2000/XP. Упакован
компрессионной утилитой UPX.
Распространяется по электронной почте и файлообменным сетям. В некоторых
случаях приходит на компьютер в виде Zip-архива.
В пораженной системе открывает порт TCP\\ 2535, что приводит к
компрометации компьютера-жертвы.
Червь останавливает процессы, принадлежащие программам, связанным с
обеспечением компьютерной безопасности. Удаляет из системного реестра
данные.
Запуск вируса
Чтобы обеспечить свой запуск в пораженной системе
червь вносит данные
drvddll.exe = \"%SysDir%\\drvddll.exe\"
в реестровую запись
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
Распространение
В поисках почтовых адресов червь сканирует диски компьютера. Ревизии подвергаются файлы со следующими расширениями:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
Из списка рассылки исключаются адреса, в которых присутствуют следующие
строки:
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
Тема сообщения выбирается из следующего списка:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
New changes
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Текст сообщения присутствует во вредоносном послании только в том случае, если приходящее на компьютер письмо снабжено вложением в формате WinZip. Тогда текст сообщения будет выбираться из следующего списка:
For security reasons attached file is password protected. The password is
*
For security purposes the attached file is password protected.
Password *
Note: Use password * to open archive.
Attached file is protected with the password for security reasons.
Password is *
In order to read the attach you have to use the following password:
*
Archive password: *
Password - *
Password: *
где * - пароль к архиву, состоящий из пяти цифр.Вложение:
Information
Details
text_document
Readme
Document
Info
the_message
Details
MoreInfo
Message
You_will_answer_to_me
Half_Live Counter_strike
Loves_money the_message
Alive_condom
Joke Toy
Nervous_illnesses
Manufacture
You_are_dismissed
Your_complaint
Your_money
Smoke
I_search_for_you
Расширение вложения может быть .exe, .scr, .com, zip, vbs, .hta или
.cpl. Если пришедшее вложение - Zip-архив, внутри его будет находится
файл с именем из случайного набора символов расширением .exe. Также внутри
вложения может быть еще один файл, расширение которого .sys, dat, idx,
vxd, vid или .dll.
Червь также способен распространяться по разделяемым ресурсам. Он осуществляет поиск директорий, в названиях которых присутствуют символы \"shar\" и копирует себя в них в виде файлов со следующими названиями:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr Serials.txt.exe
KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
