Описание
Win32.HLLM.Beagle.15872 - довольно быстро распространяющийся почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/ Me/NT/ 2000/ XP. Размер исполняемого модуля червя - 15 872 байта.
Червь распространяется по электронной почте, рассылая свои вредоносные копии по всем адресам, обнаруженным на жестких дисках компьютера в файлах с расширениями .txt., .htm, .html, .wab.
Запуск червя в системе производится самим пользователем.
Червь скрывается под иконкой калькулятора - стандартного приложения Windows.
В пораженной системе червь слушает порт 6777 и ждет команд от удаленного пользователя. Кроем того, он предпринимает попытки осуществлять соединение с веб-сайтами, список которых хранится в теле червя.
Запуск вируса
С целью обеспечения автоматического запуска своей копии при каждой перезагрузке Windows, червь вносит данные
\"d3update.exe\" = \"%SysDir%\\BBEAGLE.EXE\"
в следующую реестровую запись
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
и создает еще два ключа реестра:
\"frun\"
\"uid\"
Распространение
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. Адреса для рассылки червь получает из локальной адресной книги Microsoft Windows и файлов с расширениями .txt, .htm и .html. Адреса, в которых содержатся следующие строки:
Тема сообщения: Hi
Текст сообщения:
Test =) [произвольная последовательность символов] Test, yep.Наименование вложения: варьируется, но всегда содержит расширение .EXE
Размер вложения: 15 872 байта
Действия
Будучи активированным, червь проверяет системную дату. Если она превышает 28 января, червь прекращает свою деятельность. Если системная дата предшествует 28 января, червь запускает калькулятор (calc.exe) - стандартное приложение Windows и помещает в системную директорию Windows (в Windows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32) свою копию - файл BBEAGLE.EXE .
В пораженной системе червь слушает порт 6777 и ждет команд от удаленного пользователя. Кроме того, он предпринимает попытки осуществлять соединение с веб-сайтами, список которых хранится в теле червя.
http://www.elrasshop.de/1.php http://www.it-msc.de/1.php http://www.getyourfree.net/1.php http://www.dmdesign.de/1.php http://64.176.228.13/1.php http://www.leonzernitsky.com/1.php http://216.98.136.248/1.php http://216.98.134.247/1.php http://www.cdromca.com/1.php http://www.kunst-in-templin.de/1.php http://vipweb.ru/1.php http://antol-co.ru/1.php http://www.bags-dostavka.mags.ru/1.php http://www.5x12.ru/1.php http://bose-audio.net/1.php http://www.sttngdata.de/1.php http://wh9.tu-dresden.de/1.php http://www.micronuke.net/1.php http://www.stadthagen.org/1.php http://www.beasty-cars.de/1.php http://www.polohexe.de/1.php http://www.bino88.de/1.php http://www.grefrathpaenz.de/1.php http://www.bhamidy.de/1.php http://www.mystic-vws.de/1.php http://www.auto-hobby-essen.de/1.php http://www.polozicke.de/1.php http://www.twr-music.de/1.php http://www.sc-erbendorf.de/1.php http://www.montania.de/1.php http://www.medi-martin.de/1.php http://vvcgn.de/1.php http://www.ballonfoto.com/1.php http://www.marder-gmbh.de/1.php http://www.dvd-filme.com/1.php http://www.smeangol.com/1.php
