Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.Beagle.38912

(DeepScan:Generic.Malware.P!w.5DD7A60F, W32/Bagle@MM!cpl, WORM_BAGLE.BQ, PAK_Generic.001, W32/Bagle.gen, System error, Email-Worm.Win32.Bagle.fc, TR/Bagle.DT.DLL, TR/Crypt.XPACK.Gen, Email-Worm.Win32.Bagle.eh, I-Worm/Bagle, Win32/Bagle.gen!encrypted, TR/Bagle.DW.A.2, TR/Bagle.DY.DLL, Win32/Fantibag.L!Trojan, Win32/Glieder.CD!DLL!Trojan, Win32.Bagle.EF@mm, Email-Worm.Win32.Bagle.pac, I-Worm/Bagle.IJ, Worm:Win32/Bagle.gen!encrypted, Email-Worm.Win32.Bagle.el, Win32.Bagle.EL@mm, Win32.Bagle.CD@mm)

Добавлен в вирусную базу Dr.Web: 2005-11-01

Описание добавлено:

Win32.HLLM.Beagle.38912

Описание

Win32.HLLM.Beagle.38912 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован компрессионной утилитой UPX.

Тело червя прикреплено к зараженному письму в виде вложения — ZIP-файл размером 8 КБ. Внутри архива содержится исполняемый файл с расширением.exe .

Червь представляет собой PE EXE-файл, размером 10266 байт.

Запуск вируса

С целью обеспечения автозапуска своей копии в системе червь вносит следующие значения в ключи реестра

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

auto__hloader__key” = C:\WINDOWS\System32\hloader_exe.exe

Распространение

Способов самостоятельного распространения (почтовая рассылка, использование удаленных уязвимостей) не выявлено. Данный вариант червя был разослан с помощью спам-рассылки.

Действия

1) В системном подкаталоге %SystemRoot%\System32 червь создает файл с именем hleader_dll.dll (размер файла равен 5645 байт) и файл hloader_exe.exe (размер файла равен 19076 байт);

2) червь создает в корневом каталоге Windows директорию с именем exefld, в которую сохраняет загружаемые из Internet дополнительные модули. Cписок URL, которые проверяются на наличие дополнительных вирусных модулей:

http://141439.t-wp.de

http://1st-new-orleans-hotels.com

http://202.44.52.38

http://25kadr.org

http://757555.ru

http://abtechsafety.com

http://acentrum.plё

http://adavenue.net

http://adoptionscanada.ca

http://africa-tours.de

http://aibsnlea.org

http://aikidan.com

http://ala-bg.net

http://alevibirligi.ch

http://allanconi.it

http://allinfo.com.au

http://americasenergyco.com

http://amerykaameryka.com

http://amistra.com

http://analisisyconsultoria.com

http://av2026.comex.ru

http://calamarco.com

http://http://ccooaytomadrid.org

http://charlies-truckerpage.de

http://drinkwater.ru

http://eleceltek.com

http://furdoszoba.info

http://home.1000km.ru

http://kepter.kz

http://lasersurgery.com

http://lifejacks.de

http://mijusungdo.net

http://moderntechm.cari.net

http://oklens.co.jp

http://phrmg.org

http://s89.tku.edu.tw

http://sacafterdark.net

http://sarancha.ru

http://template.nease.net

http://tkdami.net

http://virt33.kei.pl

http://wunderlampe.com

http://www.8ingatlan.hu

http://www.a2zhostings.com

http://www.abavitis.hu

http://www.adamant-np.ru

http://www.americarising.com

http://www.bmswijndepot.com

http://www.etwas-mode.de

http://www.leap.co.il

http://www.ott-inside.de

http://www.rewardst.com

http://www.timecontrol.com.pl

3) Закаченные модули копируются под именами antiav_exe.exe и antiav_dll.dll в директорию %SystemRoot%\System32 . Размер файла antiav_exe.exe равен 19076 байт. Размер файла antiav_dll.dll равен 5645 байт.

Также с целью обеспечения автозапуска своей копии в системе червь вносит следующие значения в ключи реестра

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run:

auto__ antiav__key” = C:\WINDOWS\System32\ antiav_exe.exe

Данные программные модули служат для блокирования запуска и нормального функционирования некоторых антивирусных продуктов и межсетевых экранов.

Например,

  • удаляются некоторые программные модули, входящие в состав антивирусных пакетов или просто переименовываются (например,spiderml.exe переименовывается в s1piderml.exe);

  • останавливаются и отключаются некоторые службы, необходимые для функционирования резидентных фильтров в составе антивирусных пакетов;

  • блокируется запуск стандартных утилит Администрирования Windows (Локальная политика безопасности, Производительность, просмотр событий, Службы, Службы компонентов, Управление компьютером);

  • Блокирует запуск утилит для просмотра процессов Windows;

Рекомендации по восстановлению системы

В случае заражения системы рекомендуется произвести следующие действия:

  1. Загрузить ОС Windows в Безопасном режиме (Safe Mode);

  2. Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Действие для файлов из пп. 1) и 3) - удалить;

  3. Удалить записи в реестре Windows соответствующие данному вирусному коду (см. раздел «Запуск вируса» и п.3). Для этого рекомендуется воспользоваться стандартной утилитой Windows msconfig.exe, либо аналогичными утилитами сторонних разработчиков.