W32.Beagle.AV@mm - это червь массовой рассылки, который распространяется через файло-обменные сети. Червь оставляет лазейку на 81 TCP порту.
При запуске W32.Beagle.AV@mm выполняет следующие действия:
1. Открывает один из следующих файлов:
# %System%\wingo.exe # %System%\wingo.exeopen # %System%\wingo.exeopenopen
Также может скопировать себя как:
# %System%\wingo.exeopenopenopen # %System%\wingo.exeopenopenopenopen
2. Добавляет значение:
"wingo" = "%System%\wingo.exe"в ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3. Добавляет значение:
"Timekey" = "[Random variables]"в следующий ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Params
4. Завершает работу следующих процессов:
# mcagent.exe # mcvsshld.exe # mcshield.exe # mcvsescn.exe # mcvsrte.exe # DefWatch.exe # Rtvscan.exe # ccEvtMgr.exe # NISUM.EXE # ccPxySvc.exe # navapsvc.exe # NPROTECT.EXE # nopdb.exe # ccApp.exe # Avsynmgr.exe # VsStat.exe # Vshwin32.exe # alogserv.exe # RuLaunch.exe # Avconsol.exe # PavFires.exe # FIREWALL.EXE # ATUPDATER.EXE # LUALL.EXE # DRWEBUPW.EXE # AUTODOWN.EXE # NUPGRADE.EXE # OUTPOST.EXE # ICSSUPPNT.EXE # ICSUPP95.EXE # ESCANH95.EXE # AVXQUAR.EXE # ESCANHNT.EXE # ATUPDATER.EXE # AUPDATE.EXE # AUTOTRACE.EXE # AUTOUPDATE.EXE # AVXQUAR.EXE # AVWUPD32.EXE # AVPUPD.EXE # CFIAUDIT.EXE # UPDATE.EXE # NUPGRADE.EXE # MCUPDATE.EXE # pavsrv50.exe # AVENGINE.EXE # APVXDWIN.EXE # pavProxy.exe # navapw32.exe # navapsvc.exe # ccProxy.exe # navapsvc.exe # NPROTECT.EXE # SAVScan.exe # SNDSrvc.exe # symlcsvc.exe # LUCOMS~1.EXE # blackd.exe # bawindo.exe # FrameworkService.exe # VsTskMgr.exe # SHSTAT.EXE # UpdaterUI.exe
5. Пытается загрузить файл из одного из следующих URL, копирует его в %System%\re_file.exe и затем выполняет его:
# www.bottombouncer.com # www.bottombouncer.com # www.anthonyflanagan.com # www.bradster.com # www.traverse.com # www.ims-i.com # www.realgps.com # www.aviation-center.de # www.gci-bln.de # www.pankration.com # www.jansenboiler.com # www.corpsite.com # www.everett.wednet.edu # www.onepositiveplace.org # www.raecoinc.com # www.wwwebad.com # www.corpsite.com # www.wwwebmaster.com # www.wwwebad.com # www.dragcar.com # www.wwwebad.com # www.oohlala-kirkland.com # www.calderwoodinn.com # www.buddyboymusic.com # www.smacgreetings.com # www.tkd2xcell.com # www.curtmarsh.com # www.dontbeaweekendparent.com # www.soloconsulting.com # www.lasermach.com # www.generationnow.net # www.flashcorp.com # www.kencorbett.com # www.FritoPie.NET # www.leonhendrix.com # www.transportation.gov.bh # www.transportation.gov.bh # www.jhaforpresident.7p.com # www.DarrkSydebaby.com # www.cntv.info # www.sugardas.lt # www.adhdtests.com # www.argontech.net # www.customloyal.com # www.ohiolimo.com # www.topko.sk # www.alupass.lu # www.sigi.lu # www.redlightpictures.com # www.irinaswelt.de # www.bueroservice-it.de # www.kranenberg.de # www.kranenberg.de # www.the-fabulous-lions.de # www.the-fabulous-lions.de # www.mongolische-renner.de # www.mongolische-renner.de # www.capri-frames.de # www.capri-frames.de # www.aimcenter.net # www.boneheadmusic.com # www.fludir.is # www.sljinc.com # www.tivogoddess.com # www.fcpages.com # www.andara.com # www.freeservers.com # www.programmierung2000.de # www.asianfestival.nl # www.aviation-center.de # www.gci-bln.de # www.mass-i.kiev.ua # www.jasnet.pl # www.atlantisteste.hpg.com.br # www.fludir.is # www.rieraquadros.com.br # www.metal.pl # www.handsforhealth.com # www.angelartsanctuary.com # www.firstnightoceancounty.org # www.chinasenfa.com # www.chinasenfa.com # www.ulpiano.org # www.gamp.pl # www.vikingpc.pl # www.woundedshepherds.com # www.cpc.adv.br # www.velocityprint.com # www.esperanzaparalafamilia.com # www.celula.com.mx # www.mexis.com # www.wecompete.com # www.vbw.info # www.gfn.org # www.aegee.org # www.deadrobot.com # www.cscliberec.cz # www.ecofotos.com.br # www.amanit.ru # www.bga-gsm.ru # www.innnewport.com # www.knicks.nl # www.srg-neuburg.de # www.mepmh.de # www.mepbisu.de # www.kradtraining.de # www.polizeimotorrad.de # www.sea.bz.it # www.uslungiarue.it # www.gcnet.ru # www.aimcenter.net # www.vandermost.de # www.vandermost.de # www.szantomierz.art.pl # www.immonaut.sk # www.eurostavba.sk # www.spadochron.pl # www.pyrlandia-boogie.pl # www.kps4parents.com # www.pipni.cz # www.selu.edu # www.travelchronic.de # www.fleigutaetscher.ch # www.irakli.org # www.oboe-online.com # www.oboe-online.com # www.pe-sh.com # www.idb-group.net # www.ceskyhosting.cz # www.ceskyhosting.cz # www.hartacorporation.com # www.glass.la # www.glass.la # www.24-7-transportation.com # www.fepese.ufsc.br # www.ellarouge.com.au # www.bbsh.org # www.boneheadmusic.com # www.sljinc.com # www.tivogoddess.com # www.fcpages.com # www.szantomierz.art.pl # www.elenalazar.com # www.ssmifc.ca # www.reliance-yachts.com # www.worest.com.ar # www.kps4parents.com # www.coolfreepages.com # www.scanex-medical.fi # www.jimvann.com # www.orari.net # www.himpsi.org # www.mtfdesign.com # www.jldr.ca # www.relocationflorida.com # www.rentalstation.com # www.approved1stmortgage.com # www.velezcourtesymanagement.com # www.sunassetholdings.com # www.compsolutionstore.com # www.uhcc.com # www.justrepublicans.com # www.pfadfinder-leobersdorf.com # www.featech.com # www.vinirforge.com # www.magicbottle.com.tw # www.giantrevenue.com # www.couponcapital.net # www.crystalrose.ca # www.crystalrose.ca # www.crystalrose.ca # www.crystalrose.ca
6. Ищет на жестком диске папки, содержащие строку "shar" и копирует себя с одним из следующих имен:
# Microsoft Office 2003 Crack, Working!.exe # Microsoft Windows XP, WinXP Crack, working Keygen.exe # Microsoft Office XP working Crack, Keygen.exe # Porno, sex, oral, anal cool, awesome!!.exe # Porno Screensaver.scr # Serials.txt.exe # KAV 5.0 # Kaspersky Antivirus 5.0 # Porno pics arhive, xxx.exe # Windows Sourcecode update.doc.exe # Ahead Nero 7.exe # Windown Longhorn Beta Leak.exe # Opera 8 New!.exe # XXX hardcore images.exe # WinAmp 6 New!.exe # WinAmp 5 Pro Keygen Crack Update.exe # Adobe Photoshop 9 full.exe # Matrix 3 Revolution English Subtitles.exe # ACDSee 9.exe
7. Пытается прекратить работу следующих сервисов:
# "SharedAccess" - Internet Connection Sharing # "wscsvc" - MS security center
8. Оставляет лазейку на 81 TCP порту.
9. Ищет email адреса в файлах с расширениями
# .wab # .txt # .msg # .htm # .shtm # .stm # .xml # .dbx # .mbx # .mdx # .eml # .nch # .mmf # .ods # .cfg # .asp # .php # .pl # .wsh # .adb # .tbb # .sht # .xls # .oft # .uin # .cgi # .mht # .dhtm # .jsp
10. Использует собственный SMTP сервер для рассылки email сообщений по адресам, которые найдет.
Храним важное в надежном месте