ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
サービス
スキャナー
Dr.Web vxCube
トライアル
ウイルスライブラリ
ナレッジベース

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

ニュース

Win32.HLLM.Beagle.36352

(W32/Bagle.dldr.gen, System error, Win32.Bagle.BO@mm, WORM_BAGLE.CH, I-Worm/Bagle.F, TR/Dldr.Bagle.BR.7, Worm:Win32/Bagle.F@mm, I-Worm/Bagle.JS, TR/Dldr.Bagle.BR.5, Email-Worm.Win32.Bagle.f, TROJ_BAGLE.GEN, W32/Bagle.gen@MM, Email-Worm.Win32.Bagle.bo, TrojanDownloader:Win32/Bagle, Email-Worm.Win32.Bagle.bs, I-Worm/Bagle, TR/Dldr.Bagle.BM, Win32.Bagle.G@mm, WORM_BAGLE.F, WORM_BAGLE.BC, W32.Beagle.BW@mm, Worm.Win32.Bagle.G, Win32/Glieder.11776!Downloader!D, WORM_Bagle.GEN-1, TR/Dldr.Bagle.BR.4)

Added to the Dr.Web virus database: 2004-03-01

Virus description added:

Description

Win32.HLLM.Beagle.36352 (Beagle.F) - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Распространяется по электронной почте, иногда в виде zip-архива файлообменным сетям. На пораженном компьютере открывает порт TCP\\\\2745, что приводит к компрометации системы.

Action

Будучи запущенным, червь проверяет системную дату, и если она превышает 25 марта немедленно прекращает свою деятельность. Чтобы избежать повторного инфицирования компьютера своими копиями червь создает семафор imain_mutex.

Далее, он помещает свою копию i1ru54n4.exe в системную директорию (в Windows 9x и Windows ME это C:\\\\Windows\\\\System, в Windows NT/2000 это C:\\\\WINNT\\\\System32, в Windows XP это C:\\\\Windows\\\\System32) и прописывает ссылку на себя в системном реестре:

HKEY_LOCAL_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
\\\"rate.exe\\\"=\\\"%SysDir%\\\\i1ru54n4.exe\\\"
обеспечивая таким образом свой последующий запуск при старте последующих Windows-сессий.

Одновременно, он размещает еще несколько файлов в той же директории:

  • ii5nj4.exe - динамическая библиотека с расширением исполняемого файла, содержащая процедуру загрузки системной библиотеки
  • go54o.exe - динамическая библиотека, содержащая процедуру массовой рассылки червя по электронной почте
  • i1ru54n4.exeopen - zip-архив, содержащий исполняемый модуль червя со случайным названием, этот архив отправляется червем по электронной почте при массовой рассылке
    • Кроме того, червь вносит данные
    \\\"frun\\\" =\\\"1\\\"

    в ключ реестра
    HKEY_CURRENT_USER\\\\Software\\\\winword

    Червь открывает порт 2745 и начинает \\\"слушать\\\" интернет в ожидании контакта извне со стороны своего создателя. Процедура-люк, запускаемая червем, содержит еще одну деструктивную особенность - она фактически блокирует запуск различных приложений, обновляющих вирусные базы антивирусных программ: 

          ATUPDATER.EXE
      AUPDATE.EXE
      AUTODOWN.EXE
      AUTOTRACE.EXE
      AUTOUPDATE.EXE
      AVLTMAIN.EXE
      AVPUPD.EXE
      AVWUPD32.EXE
      AVXQUAR.EXE
      CFIAUDIT.EXE
      DRWEBUPW.EXE
      ICSSUPPNT.EXE
      ICSUPP95.EXE
      LUALL.EXE
      MCUPDATE.EXE
      NUPGRADE.EXE
      OUTPOST.EXE
      UPDATE.EXE
    Обращаем внимание, что в этом списке присутствует штатная утилита обновления антивируса Dr.Web (DRWEBUPW.EXE), что затрудняет обезвреживание червя антивирусными средствами. В случае, если запуск утилиты обновления невозможен, рекомендуем удалить из системного реестра запись, ссылающуюся на копию червя (см.выше), после чего произвести перезапуск системы - в этом случае утилита обновления будет нормально стартовать.

    Кроме того, процедура-люк пытается соединиться со следующими интернет-сайтами: 

               http: // postertog.de/scr.php
           http: // www.gfotxt.net/scr.php
           http: // www.maiklibis.de/scr.php
    и передать PHP-приложению на этих сайтах номер открытого порта и ID зараженной системы.