Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.Beagle.28160

(WORM_BAGLE.D, Worm/Bagle.F.DOC, W32/Bagle.dll.gen, Email-Worm.Win32.Bagle.e, System error, W32.Beagle.gen, Win32.Worm.Bagle.e, WORM_BAGLE.GEN, I-Worm/Bagle.E, WORM_BAGLE.C, Win32.Worm.Bagle.c, Win32.Bagle.E@mm, Email-Worm.Win32.Bagle.c, Email-Worm.Win32.Bagle.d, Win32/Bagle.C!DLL2!Worm, WORM_BAGLE.E, I-Worm/Bagle.C, Worm:Win32/Bagle.E@mm, Win32.Bagle.D@mm, Win32.Worm.Bagle.d)

Добавлен в вирусную базу Dr.Web: 2004-02-28

Описание добавлено:

Описание

Win32.HLLM.Beagle.28160 - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Представляет из себя исполняемый модуль, упакованный компрессионной утилитой UPX, длина упакованного файла - 15 872 байта. Может распространяться по электронной почте в виде zip-архива длиной 15 944 байта.

Запуск вируса

Будучи запущенным в системе, червь прописывает ссылку на себя в системном реестре:

HKEY_LOCAL_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
\"gouday.exe\" = \"%SysDir%\\readme.exe\",

обеспечивая таким образом свой последующий запуск при старте последующих Windows-сессий.

Распространение

Червь распространяется по электронной почте, рассылая себя с зараженного компьютера с помощью протокола SMTP, реализованного в его коде. Исполняемый модуль червя рассылается в виде вложенного в письмо zip-архива с произвольным именем. Адреса для рассылки червем своих копий берутся им из файлов на компьютере жертвы, имеющих следующие расширения:

        .wab
        .txt
        .htm
        .html
        .dbx
        .mdx
        .eml
        .nch
        .mmf
        .ods
        .cfg
        .asp
        .php
        .pl
        .adb
        .sht
        
При этом исключаются адреса, содержащие в себе следующие последовательности символов:
        @hotmail.com
        @msn.com
        @microsoft
        @avp.
        noreply
        local
        root@
        postmaster@
        
Тема письма, с которым червь себя рассылает, может быть одной из следующего списка:
       Price
       New Price-list
       Hardware devices price-list
       Weekly activity report
       Daily activity report
       Maria
       Jenny
       Jessica
       Registration confirmation
       USA government abolishes the capital punishment
       Freedom for everyone
       Flayers among us
       From Hair-cutter
       Melissa
       Camila
       Price-list
       Pricelist
       Price list
       Hello my friend
       Hi!
       Well...
       Greet the day
       The account
       Looking for the report
       You really love me? he he
       You are dismissed
       Accounts department
       From me
       Monthly incomings summary
       The summary
       Proclivity to servitude
       Ahtung!
       The employee
  
       

Действия

Будучи запущенным, червь создает свою копию в системной директории Windows, а также размещает несколько дополнительных файлов в той же директории:

  • doc.exe - процедура загрузки системной библиотеки
  • onde.exe - библиотека, содержащая процедуру массовой рассылки червя по электронной почте
  • readme.exeopen - zip-архив, содержащий исполняемый модуль червя со случайным названием, этот архив отправляется червем по электронной почте при массовой рассылке
  • Червь размещает свою процедуру массовой рассылки в адресном пространстве программы Explorer, кроме того, там же он открывает порт 2745 и начинает \"слушать\" интернет в ожидании контакта извне со стороны своего создателя. Таким образом, червь не существует в виде самостоятельного процесса в памяти, а фактически паразитирует на одном из основных процессов Windows-системы.

    Процедура-люк, запускаемая червем, содержит еще одну деструктивную особенность - она фактически блокирует запуск различных приложений, обновляющих вирусные базы антивирусных программ:

             ATUPDATER.EXE
             AVWUPD32.EXE
             AVPUPD.EXE
             LUALL.EXE
             DRWEBUPW.EXE
             ICSSUPPNT.EXE
             ICSUPP95.EXE
             UPDATE.EXE
             NUPGRADE.EXE
             ATUPDATER.EXE
             AUPDATE.EXE
             AUTODOWN.EXE
             AUTOTRACE.EXE
             AUTOUPDATE.EXE
             AVXQUAR.EXE
             CFIAUDIT.EXE
             MCUPDATE.EXE
             NUPGRADE.EXE
             OUTPOST.EXE
             AVLTMAIN.EXE
             
    Обращаем внимание, что в этом списке присутствует штатная утилита обновления антивируса Dr.Web (DRWEBUPW.EXE), что затрудняет обезвреживание червя антивирусными средствами. В случае, если запуск утилиты обновления невозможен, рекомендуем удалить из системного реестра запись, ссылающуюся на копию червя (см.выше), после чего произвести перезапуск системы - в этом случае утилита обновления будет нормально стартовать.

    Кроме того, процедура-люк пытается соединиться со следующими интернет-сайтами:

            http: // permail.uni-muenster.de/
            http: // www. songtext.net/de/
            http: // www. sportscheck.de/
            
    и передать PHP-приложению на этих сайтах номер открытого порта и ID зараженной системы.

    В случае, если системная дата на зараженном компьютере равна 14 марта или больше, червь завершает свою деятельность.