Win32.HLLM.Beagle.19802

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 19 802 байт

Упакован: UPX

Техническая информация

Распространяется по электронной почте, используя собственную реализацию SMTP-протокола

Для обеспечения своего запуска при каждой загрузке Windows создаёт ключ в секции реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"DsplObjects" = "%System%\windspl.exe"

Создаёт файлы %System%\windspl.exe, %Windir%\regisp32.exe

В поисках адресов для своей дальнейшей рассылки сканирует жесткие диски компьютера, просматривая файлы со следующими расширениями:

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Ищет каталоги, содержащие подстроку SHAR. В случае нахождения таковых, копирует в них свои копии со следующими именами:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Содержит backdoor-функцию: открывает и слушает порт TCP 6777 в ожидании команд удалённого пользователя.

Просматривает ветви реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
на предмет наличия таких записей:

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

и, в случае нахождения таковых, пытается их удалить.

Темы рассылаемых по электронной почте копий выбираются из списка:

Gwd: Msg reply
Gwd: Hello :-)
Gwd: Yahoo!!!
Gwd: Thank you!
Gwd: Thanks :)
Gwd: Text message
Gwd: Document
Gwd: Incoming message
Gwd: Incoming Message
Gwd: Incoming Msg
Gwd: Message Notify
Gwd: Notification
Gwd: Changes..
Gwd: Update
Gwd: Fax Message
Gwd: Protected message
Gwd: Protected message
Gwd: Forum notify
Gwd: Site changes
Gwd: Hi
Gwd: crypted document

Сопроводительный текст в теле письма может быть таким:

Ok. Read the attach.
Ok. Your file is attached.
Ok. More info is in attach
Ok. See attach.
Ok. Please, have a look at the attached file.
Ok. Your document is attached.
Ok. Please, read the document.
Ok. Attach tells everything.
Ok. Attached file tells everything.
Ok. Check attached file for details.
Ok. Check attached file.
Ok. Pay attention at the attach.
Ok. See the attached file for details.
Ok. Message is in attach
Ok. Here is the file.

Во избежание многократного запуска своих копий создаёт опознавательные семафоры

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
smtp_bagla_1000.

Не производит рассылку по адресам, которые содержат следующие подстроки:

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

Вложения представляют из себя файлы с двойным расширением.
Первое расширение может быть:

.ni
.cfg
.txt
.vxd
.def
.dll

Второе расширение может быть:

.exe
.com
.scr

Имя файла выбирается из списка:

www.cumonherface
Details
XXX_livebabes
XXX_PornoUpdates
xxxporno
fuck_her
Info
Common
MoreInfo
Message

Для обновления своих модулей просматривает ресурсы, список которых хранится в теле червя.

Рекомендации по восстановлению системы

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
3. Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

Технологии

Термины

Обучение и просвещение

Мифы