Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Beagle.19802

(PE_SALITY.AE, WORM_BAGLE.DAM, Virus:Win32/Sality.M, I-Worm/Bagle.JT, PE_SALITY.AC-O, W32/Bagle.gen!Sality, Worm:Win32/Bagle.IE@mm, Win32.Bagle.FK@mm, Win32/Bagle.DT, Win32.Bagle.FL@mm, Email-Worm.Win32.Bagle.fl, New Downloader, Email-Worm.Win32.Bagle.fk, Win32/Sality, Win32/Bagle.AN, Win32.HLLP.Kuku.303a, Worm/Bagle.FJ, Win32.HLLP.Kuku.303b, TROJ_DLOADER.BOI, Win32.HLLP.Kuku.304)

Добавлен в вирусную базу Dr.Web: 2006-02-04

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 19 802 байт

Упакован: UPX

Техническая информация

  • Распространяется по электронной почте, используя собственную реализацию SMTP-протокола
  • Для обеспечения своего запуска при каждой загрузке Windows создаёт ключ в секции реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "DsplObjects" = "%System%\windspl.exe"
  • Создаёт файлы %System%\windspl.exe, %Windir%\regisp32.exe
  • В поисках адресов для своей дальнейшей рассылки сканирует жесткие диски компьютера, просматривая файлы со следующими расширениями:

    .wab
    .txt
    .msg
    .htm
    .shtm
    .stm
    .xml
    .dbx
    .mbx
    .mdx
    .eml
    .nch
    .mmf
    .ods
    .cfg
    .asp
    .php
    .pl
    .wsh
    .adb
    .tbb
    .sht
    .xls
    .oft
    .uin
    .cgi
    .mht
    .dhtm
    .jsp
  • Ищет каталоги, содержащие подстроку SHAR. В случае нахождения таковых, копирует в них свои копии со следующими именами:

    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Microsoft Office XP working Crack, Keygen.exe
    Porno, sex, oral, anal cool, awesome!!.exe
    Porno Screensaver.scr
    Serials.txt.exe
    KAV 5.0
    Kaspersky Antivirus 5.0
    Porno pics arhive, xxx.exe
    Windows Sourcecode update.doc.exe
    Ahead Nero 7.exe
    Windown Longhorn Beta Leak.exe
    Opera 8 New!.exe
    XXX hardcore images.exe
    WinAmp 6 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    Adobe Photoshop 9 full.exe
    Matrix 3 Revolution English Subtitles.exe
    ACDSee 9.exe
  • Содержит backdoor-функцию: открывает и слушает порт TCP 6777 в ожидании команд удалённого пользователя.
  • Просматривает ветви реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    на предмет наличия таких записей:

    My AV
    Zone Labs Client Ex
    9XHtProtect
    Antivirus
    Special Firewall Service
    service
    Tiny AV
    ICQNet
    HtProtect
    NetDy
    Jammer2nd
    FirewallSvr
    MsInfo
    SysMonXP
    EasyAV
    PandaAVEngine
    Norton Antivirus AV
    KasperskyAVEng
    SkynetsRevenge
    ICQ Net
  • и, в случае нахождения таковых, пытается их удалить.

  • Темы рассылаемых по электронной почте копий выбираются из списка:

    Gwd: Msg reply
    Gwd: Hello :-)
    Gwd: Yahoo!!!
    Gwd: Thank you!
    Gwd: Thanks :)
    Gwd: Text message
    Gwd: Document
    Gwd: Incoming message
    Gwd: Incoming Message
    Gwd: Incoming Msg
    Gwd: Message Notify
    Gwd: Notification
    Gwd: Changes..
    Gwd: Update
    Gwd: Fax Message
    Gwd: Protected message
    Gwd: Protected message
    Gwd: Forum notify
    Gwd: Site changes
    Gwd: Hi
    Gwd: crypted document
  • Сопроводительный текст в теле письма может быть таким:

    Ok. Read the attach.
    Ok. Your file is attached.
    Ok. More info is in attach
    Ok. See attach.
    Ok. Please, have a look at the attached file.
    Ok. Your document is attached.
    Ok. Please, read the document.
    Ok. Attach tells everything.
    Ok. Attached file tells everything.
    Ok. Check attached file for details.
    Ok. Check attached file.
    Ok. Pay attention at the attach.
    Ok. See the attached file for details.
    Ok. Message is in attach
    Ok. Here is the file.
  • Во избежание многократного запуска своих копий создаёт опознавательные семафоры

    MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
    smtp_bagla_1000.

  • Не производит рассылку по адресам, которые содержат следующие подстроки:

    @hotmail
    @msn
    @microsoft
    rating@
    f-secur
    news
    update
    anyone@
    bugs@
    contract@
    feste
    gold-certs@
    help@
    info@
    nobody@
    noone@
    kasp
    admin
    icrosoft
    support
    ntivi
    unix
    bsd
    linux
    listserv
    certific
    sopho
    @foo
    @iana
    free-av
    @messagelab
    winzip
    google
    winrar
    samples
    abuse
    panda
    cafee
    spam
    pgp
    @avp.
    noreply
    local
    root@
    postmaster@
  • Вложения представляют из себя файлы с двойным расширением.
    Первое расширение может быть:

    .ni
    .cfg
    .txt
    .vxd
    .def
    .dll

  • Второе расширение может быть:

    .exe
    .com
    .scr

  • Имя файла выбирается из списка:

    www.cumonherface
    Details
    XXX_livebabes
    XXX_PornoUpdates
    xxxporno
    fuck_her
    Info
    Common
    MoreInfo
    Message

  • Для обновления своих модулей просматривает ресурсы, список которых хранится в теле червя.
  • Рекомендации по восстановлению системы

    1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
    2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
    3. Восстановить реестр из резервной копии.

    Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
    Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).