Win32.HLLM.Beagle.36352

Описание

Win32.HLLM.Beagle.36352 (Beagle.F) - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Распространяется по электронной почте, иногда в виде zip-архива по файлообменным сетям. На пораженном компьютере открывает порт TCP\\2745, что приводит к компрометации системы.

Действия

Будучи запущенным, червь проверяет системную дату, и если она превышает 25 марта, то немедленно прекращает свою деятельность. Чтобы избежать повторного инфицирования компьютера своими копиями, червь создает семафор imain_mutex.

Далее, он помещает свою копию i1ru54n4.exe в системную директорию (в Windows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32) и прописывает ссылку на себя в системном реестре:

HKEY_LOCAL_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
\"rate.exe\"=\"%SysDir%\\i1ru54n4.exe\"
, обеспечивая таким образом свой последующий запуск при старте последующих Windows-сессий.

Одновременно он размещает еще несколько файлов в той же директории:

Червь открывает порт 2745 и начинает \"слушать\" интернет в ожидании контакта извне со стороны своего создателя. Процедура-люк, запускаемая червем, содержит еще одну деструктивную особенность - она фактически блокирует запуск различных приложений, обновляющих вирусные базы антивирусных программ:

      ATUPDATER.EXE
      AUPDATE.EXE
      AUTODOWN.EXE
      AUTOTRACE.EXE
      AUTOUPDATE.EXE
      AVLTMAIN.EXE
      AVPUPD.EXE
      AVWUPD32.EXE
      AVXQUAR.EXE
      CFIAUDIT.EXE
      DRWEBUPW.EXE
      ICSSUPPNT.EXE
      ICSUPP95.EXE
      LUALL.EXE
      MCUPDATE.EXE
      NUPGRADE.EXE
      OUTPOST.EXE
      UPDATE.EXE
           

Кроме того, процедура-люк пытается соединиться со следующими интернет-сайтами:

           http: // postertog.de/scr.php
           http: // www.gfotxt.net/scr.php
           http: // www.maiklibis.de/scr.php