Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Beagle.15872

(WORM_BAGLE.DAM, Email-Worm.Win32.Bagle.a, I-Worm/Bagle.A, Win32/Bagle.A@mm, System error, WORM_BAGLE.A, W32.Beagle.A@mm, W32.Beagle.gen, Win32/Bagle.A!Worm, WORM_BAGLE.GEN, Parser error, WORM_BAGLE.FA, Win32.Bagle.A@mm, W32/Bagle.a@MM)

Добавлен в вирусную базу Dr.Web: 2004-01-19

Описание добавлено:

Описание

Win32.HLLM.Beagle.15872 - довольно быстро распространяющийся почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/ Me/NT/ 2000/ XP. Размер исполняемого модуля червя - 15 872 байта.

Червь распространяется по электронной почте, рассылая свои вредоносные копии по всем адресам, обнаруженным на жестких дисках компьютера в файлах с расширениями .txt., .htm, .html, .wab.
Запуск червя в системе производится самим пользователем.
Червь скрывается под иконкой калькулятора - стандартного приложения Windows.

В пораженной системе червь слушает порт 6777 и ждет команд от удаленного пользователя. Кроем того, он предпринимает попытки осуществлять соединение с веб-сайтами, список которых хранится в теле червя.

Запуск вируса

С целью обеспечения автоматического запуска своей копии при каждой перезагрузке Windows, червь вносит данные
\"d3update.exe\" = \"%SysDir%\\BBEAGLE.EXE\"
в следующую реестровую запись
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

и создает еще два ключа реестра:

  • HKEY_CURRENT_USER\\Software\\Windows98
    \"frun\"
  • HKEY_CURRENT_USER\\Software\\Windows98
    \"uid\"

Распространение

Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. Адреса для рассылки червь получает из локальной адресной книги Microsoft Windows и файлов с расширениями .txt, .htm и .html. Адреса, в которых содержатся следующие строки:

  • hotmail.com
  • msn.com
  • @microsoft
  • @avp.,
  • исключаются из общего списка адресов, по которым червь себя рассылает. Почтовое сообщение, инфицированное червем, выглядит следующим образом:

    Тема сообщения: Hi
    Текст сообщения:

     
     Test =)
     [произвольная последовательность символов]
     Test, yep. 
     
     
    Наименование вложения: варьируется, но всегда содержит расширение .EXE
    Размер вложения: 15 872 байта

    Действия

    Будучи активированным, червь проверяет системную дату. Если она превышает 28 января, червь прекращает свою деятельность. Если системная дата предшествует 28 января, червь запускает калькулятор (calc.exe) - стандартное приложение Windows и помещает в системную директорию WindowsWindows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32) свою копию - файл BBEAGLE.EXE .

    В пораженной системе червь слушает порт 6777 и ждет команд от удаленного пользователя. Кроме того, он предпринимает попытки осуществлять соединение с веб-сайтами, список которых хранится в теле червя.

     http://www.elrasshop.de/1.php 
     http://www.it-msc.de/1.php 
     http://www.getyourfree.net/1.php 
     http://www.dmdesign.de/1.php 
     http://64.176.228.13/1.php 
     http://www.leonzernitsky.com/1.php 
     http://216.98.136.248/1.php 
     http://216.98.134.247/1.php 
     http://www.cdromca.com/1.php 
     http://www.kunst-in-templin.de/1.php 
     http://vipweb.ru/1.php 
     http://antol-co.ru/1.php 
     http://www.bags-dostavka.mags.ru/1.php 
     http://www.5x12.ru/1.php 
     http://bose-audio.net/1.php 
     http://www.sttngdata.de/1.php 
     http://wh9.tu-dresden.de/1.php 
     http://www.micronuke.net/1.php 
     http://www.stadthagen.org/1.php 
     http://www.beasty-cars.de/1.php 
     http://www.polohexe.de/1.php 
     http://www.bino88.de/1.php 
     http://www.grefrathpaenz.de/1.php 
     http://www.bhamidy.de/1.php 
     http://www.mystic-vws.de/1.php 
     http://www.auto-hobby-essen.de/1.php 
     http://www.polozicke.de/1.php 
     http://www.twr-music.de/1.php 
     http://www.sc-erbendorf.de/1.php 
     http://www.montania.de/1.php 
     http://www.medi-martin.de/1.php 
     http://vvcgn.de/1.php 
     http://www.ballonfoto.com/1.php 
     http://www.marder-gmbh.de/1.php 
     http://www.dvd-filme.com/1.php 
     http://www.smeangol.com/1.php