Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Win32.HLLM.Beagle.36352

(W32/Bagle.dldr.gen, System error, Win32.Bagle.BO@mm, WORM_BAGLE.CH, I-Worm/Bagle.F, TR/Dldr.Bagle.BR.7, Worm:Win32/Bagle.F@mm, I-Worm/Bagle.JS, TR/Dldr.Bagle.BR.5, Email-Worm.Win32.Bagle.f, TROJ_BAGLE.GEN, W32/Bagle.gen@MM, Email-Worm.Win32.Bagle.bo, TrojanDownloader:Win32/Bagle, Email-Worm.Win32.Bagle.bs, I-Worm/Bagle, TR/Dldr.Bagle.BM, Win32.Bagle.G@mm, WORM_BAGLE.F, WORM_BAGLE.BC, W32.Beagle.BW@mm, Worm.Win32.Bagle.G, Win32/Glieder.11776!Downloader!D, WORM_Bagle.GEN-1, TR/Dldr.Bagle.BR.4)

Added to the Dr.Web virus database: 2004-03-01

Virus description added:

Description

Win32.HLLM.Beagle.36352 (Beagle.F) - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Распространяется по электронной почте, иногда в виде zip-архива файлообменным сетям. На пораженном компьютере открывает порт TCP\\\\2745, что приводит к компрометации системы.

Action

Будучи запущенным, червь проверяет системную дату, и если она превышает 25 марта немедленно прекращает свою деятельность. Чтобы избежать повторного инфицирования компьютера своими копиями червь создает семафор imain_mutex.

Далее, он помещает свою копию i1ru54n4.exe в системную директорию (в Windows 9x и Windows ME это C:\\\\Windows\\\\System, в Windows NT/2000 это C:\\\\WINNT\\\\System32, в Windows XP это C:\\\\Windows\\\\System32) и прописывает ссылку на себя в системном реестре:

HKEY_LOCAL_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
\\\"rate.exe\\\"=\\\"%SysDir%\\\\i1ru54n4.exe\\\"

обеспечивая таким образом свой последующий запуск при старте последующих Windows-сессий.

Одновременно, он размещает еще несколько файлов в той же директории:

  • ii5nj4.exe - динамическая библиотека с расширением исполняемого файла, содержащая процедуру загрузки системной библиотеки
  • go54o.exe - динамическая библиотека, содержащая процедуру массовой рассылки червя по электронной почте
  • i1ru54n4.exeopen - zip-архив, содержащий исполняемый модуль червя со случайным названием, этот архив отправляется червем по электронной почте при массовой рассылке
  • Кроме того, червь вносит данные
    \\\"frun\\\" =\\\"1\\\"

    в ключ реестра
    HKEY_CURRENT_USER\\\\Software\\\\winword

    Червь открывает порт 2745 и начинает \\\"слушать\\\" интернет в ожидании контакта извне со стороны своего создателя. Процедура-люк, запускаемая червем, содержит еще одну деструктивную особенность - она фактически блокирует запуск различных приложений, обновляющих вирусные базы антивирусных программ:

          ATUPDATER.EXE
          AUPDATE.EXE
          AUTODOWN.EXE
          AUTOTRACE.EXE
          AUTOUPDATE.EXE
          AVLTMAIN.EXE
          AVPUPD.EXE
          AVWUPD32.EXE
          AVXQUAR.EXE
          CFIAUDIT.EXE
          DRWEBUPW.EXE
          ICSSUPPNT.EXE
          ICSUPP95.EXE
          LUALL.EXE
          MCUPDATE.EXE
          NUPGRADE.EXE
          OUTPOST.EXE
          UPDATE.EXE
               
    Обращаем внимание, что в этом списке присутствует штатная утилита обновления антивируса Dr.Web (DRWEBUPW.EXE), что затрудняет обезвреживание червя антивирусными средствами. В случае, если запуск утилиты обновления невозможен, рекомендуем удалить из системного реестра запись, ссылающуюся на копию червя (см.выше), после чего произвести перезапуск системы - в этом случае утилита обновления будет нормально стартовать.

    Кроме того, процедура-люк пытается соединиться со следующими интернет-сайтами:

               http: // postertog.de/scr.php
               http: // www.gfotxt.net/scr.php
               http: // www.maiklibis.de/scr.php
               
    и передать PHP-приложению на этих сайтах номер открытого порта и ID зараженной системы.