ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLM.Beagle.38912

(DeepScan:Generic.Malware.P!w.5DD7A60F, W32/Bagle@MM!cpl, WORM_BAGLE.BQ, PAK_Generic.001, W32/Bagle.gen, System error, Email-Worm.Win32.Bagle.fc, TR/Bagle.DT.DLL, TR/Crypt.XPACK.Gen, Email-Worm.Win32.Bagle.eh, I-Worm/Bagle, Win32/Bagle.gen!encrypted, TR/Bagle.DW.A.2, TR/Bagle.DY.DLL, Win32/Fantibag.L!Trojan, Win32/Glieder.CD!DLL!Trojan, Win32.Bagle.EF@mm, Email-Worm.Win32.Bagle.pac, I-Worm/Bagle.IJ, Worm:Win32/Bagle.gen!encrypted, Email-Worm.Win32.Bagle.el, Win32.Bagle.EL@mm, Win32.Bagle.CD@mm)

Добавлен в вирусную базу Dr.Web: 2005-11-01

Описание добавлено:

Win32.HLLM.Beagle.38912

Описание

Win32.HLLM.Beagle.38912 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован компрессионной утилитой UPX.

Тело червя прикреплено к зараженному письму в виде вложения — ZIP-файл размером 8 КБ. Внутри архива содержится исполняемый файл с расширением.exe .

Червь представляет собой PE EXE-файл, размером 10266 байт.

Запуск вируса

С целью обеспечения автозапуска своей копии в системе червь вносит следующие значения в ключи реестра

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

auto__hloader__key” = C:\WINDOWS\System32\hloader_exe.exe

Распространение

Способов самостоятельного распространения (почтовая рассылка, использование удаленных уязвимостей) не выявлено. Данный вариант червя был разослан с помощью спам-рассылки.

Действия

1) В системном подкаталоге %SystemRoot%\System32 червь создает файл с именем hleader_dll.dll (размер файла равен 5645 байт) и файл hloader_exe.exe (размер файла равен 19076 байт);

2) червь создает в корневом каталоге Windows директорию с именем exefld, в которую сохраняет загружаемые из Internet дополнительные модули. Cписок URL, которые проверяются на наличие дополнительных вирусных модулей:

http://141439.t-wp.de

http://1st-new-orleans-hotels.com

http://202.44.52.38

http://25kadr.org

http://757555.ru

http://abtechsafety.com

http://acentrum.plё

http://adavenue.net

http://adoptionscanada.ca

http://africa-tours.de

http://aibsnlea.org

http://aikidan.com

http://ala-bg.net

http://alevibirligi.ch

http://allanconi.it

http://allinfo.com.au

http://americasenergyco.com

http://amerykaameryka.com

http://amistra.com

http://analisisyconsultoria.com

http://av2026.comex.ru

http://calamarco.com

http://http://ccooaytomadrid.org

http://charlies-truckerpage.de

http://drinkwater.ru

http://eleceltek.com

http://furdoszoba.info

http://home.1000km.ru

http://kepter.kz

http://lasersurgery.com

http://lifejacks.de

http://mijusungdo.net

http://moderntechm.cari.net

http://oklens.co.jp

http://phrmg.org

http://s89.tku.edu.tw

http://sacafterdark.net

http://sarancha.ru

http://template.nease.net

http://tkdami.net

http://virt33.kei.pl

http://wunderlampe.com

http://www.8ingatlan.hu

http://www.a2zhostings.com

http://www.abavitis.hu

http://www.adamant-np.ru

http://www.americarising.com

http://www.bmswijndepot.com

http://www.etwas-mode.de

http://www.leap.co.il

http://www.ott-inside.de

http://www.rewardst.com

http://www.timecontrol.com.pl

3) Закаченные модули копируются под именами antiav_exe.exe и antiav_dll.dll в директорию %SystemRoot%\System32 . Размер файла antiav_exe.exe равен 19076 байт. Размер файла antiav_dll.dll равен 5645 байт.

Также с целью обеспечения автозапуска своей копии в системе червь вносит следующие значения в ключи реестра

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run:

auto__ antiav__key” = C:\WINDOWS\System32\ antiav_exe.exe

Данные программные модули служат для блокирования запуска и нормального функционирования некоторых антивирусных продуктов и межсетевых экранов.

Например,

  • удаляются некоторые программные модули, входящие в состав антивирусных пакетов или просто переименовываются (например,spiderml.exe переименовывается в s1piderml.exe);

  • останавливаются и отключаются некоторые службы, необходимые для функционирования резидентных фильтров в составе антивирусных пакетов;

  • блокируется запуск стандартных утилит Администрирования Windows (Локальная политика безопасности, Производительность, просмотр событий, Службы, Службы компонентов, Управление компьютером);

  • Блокирует запуск утилит для просмотра процессов Windows;

Рекомендации по восстановлению системы

В случае заражения системы рекомендуется произвести следующие действия:

  1. Загрузить ОС Windows в Безопасном режиме (Safe Mode);

  2. Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Действие для файлов из пп. 1) и 3) - удалить;

  3. Удалить записи в реестре Windows соответствующие данному вирусному коду (см. раздел «Запуск вируса» и п.3). Для этого рекомендуется воспользоваться стандартной утилитой Windows msconfig.exe, либо аналогичными утилитами сторонних разработчиков.