Security Lab

W32.Beagle.AV@mm

W32.Beagle.AV@mm

W32.Beagle.AV@mm - это червь массовой рассылки, который распространяется через файло-обменные сети. Червь оставляет лазейку на 81 TCP порту.

W32.Beagle.AV@mm - это червь массовой рассылки, который распространяется через файло-обменные сети. Червь оставляет лазейку на 81 TCP порту.

При запуске W32.Beagle.AV@mm выполняет следующие действия:

1. Открывает один из следующих файлов:

  # %System%\wingo.exe
  # %System%\wingo.exeopen
  # %System%\wingo.exeopenopen 

Также может скопировать себя как:

 
  # %System%\wingo.exeopenopenopen
  # %System%\wingo.exeopenopenopenopen 

2. Добавляет значение:

 "wingo" = "%System%\wingo.exe" 
в ключ реестра:
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

3. Добавляет значение:

 
  "Timekey" = "[Random variables]" 
в следующий ключ реестра:
 HKEY_CURRENT_USER\Software\Microsoft\Params

4. Завершает работу следующих процессов:

  # mcagent.exe
  # mcvsshld.exe
  # mcshield.exe
  # mcvsescn.exe
  # mcvsrte.exe
  # DefWatch.exe
  # Rtvscan.exe
  # ccEvtMgr.exe
  # NISUM.EXE
  # ccPxySvc.exe
  # navapsvc.exe
  # NPROTECT.EXE
  # nopdb.exe
  # ccApp.exe
  # Avsynmgr.exe
  # VsStat.exe
  # Vshwin32.exe
  # alogserv.exe
  # RuLaunch.exe
  # Avconsol.exe
  # PavFires.exe
  # FIREWALL.EXE
  # ATUPDATER.EXE
  # LUALL.EXE
  # DRWEBUPW.EXE
  # AUTODOWN.EXE
  # NUPGRADE.EXE
  # OUTPOST.EXE
  # ICSSUPPNT.EXE
  # ICSUPP95.EXE
  # ESCANH95.EXE
  # AVXQUAR.EXE
  # ESCANHNT.EXE
  # ATUPDATER.EXE
  # AUPDATE.EXE
  # AUTOTRACE.EXE
  # AUTOUPDATE.EXE
  # AVXQUAR.EXE
  # AVWUPD32.EXE
  # AVPUPD.EXE
  # CFIAUDIT.EXE
  # UPDATE.EXE
  # NUPGRADE.EXE
  # MCUPDATE.EXE
  # pavsrv50.exe
  # AVENGINE.EXE
  # APVXDWIN.EXE
  # pavProxy.exe
  # navapw32.exe
  # navapsvc.exe
  # ccProxy.exe
  # navapsvc.exe
  # NPROTECT.EXE
  # SAVScan.exe
  # SNDSrvc.exe
  # symlcsvc.exe
  # LUCOMS~1.EXE
  # blackd.exe
  # bawindo.exe
  # FrameworkService.exe
  # VsTskMgr.exe
  # SHSTAT.EXE
  # UpdaterUI.exe 

5. Пытается загрузить файл из одного из следующих URL, копирует его в %System%\re_file.exe и затем выполняет его:

  # www.bottombouncer.com
  # www.bottombouncer.com
  # www.anthonyflanagan.com
  # www.bradster.com
  # www.traverse.com
  # www.ims-i.com
  # www.realgps.com
  # www.aviation-center.de
  # www.gci-bln.de
  # www.pankration.com
  # www.jansenboiler.com
  # www.corpsite.com
  # www.everett.wednet.edu
  # www.onepositiveplace.org
  # www.raecoinc.com
  # www.wwwebad.com
  # www.corpsite.com
  # www.wwwebmaster.com
  # www.wwwebad.com
  # www.dragcar.com
  # www.wwwebad.com
  # www.oohlala-kirkland.com
  # www.calderwoodinn.com
  # www.buddyboymusic.com
  # www.smacgreetings.com
  # www.tkd2xcell.com
  # www.curtmarsh.com
  # www.dontbeaweekendparent.com
  # www.soloconsulting.com
  # www.lasermach.com
  # www.generationnow.net
  # www.flashcorp.com
  # www.kencorbett.com
  # www.FritoPie.NET
  # www.leonhendrix.com
  # www.transportation.gov.bh
  # www.transportation.gov.bh
  # www.jhaforpresident.7p.com
  # www.DarrkSydebaby.com
  # www.cntv.info
  # www.sugardas.lt
  # www.adhdtests.com
  # www.argontech.net
  # www.customloyal.com
  # www.ohiolimo.com
  # www.topko.sk
  # www.alupass.lu
  # www.sigi.lu
  # www.redlightpictures.com
  # www.irinaswelt.de
  # www.bueroservice-it.de
  # www.kranenberg.de
  # www.kranenberg.de
  # www.the-fabulous-lions.de
  # www.the-fabulous-lions.de
  # www.mongolische-renner.de
  # www.mongolische-renner.de
  # www.capri-frames.de
  # www.capri-frames.de
  # www.aimcenter.net
  # www.boneheadmusic.com
  # www.fludir.is
  # www.sljinc.com
  # www.tivogoddess.com
  # www.fcpages.com
  # www.andara.com
  # www.freeservers.com
  # www.programmierung2000.de
  # www.asianfestival.nl
  # www.aviation-center.de
  # www.gci-bln.de
  # www.mass-i.kiev.ua
  # www.jasnet.pl
  # www.atlantisteste.hpg.com.br
  # www.fludir.is
  # www.rieraquadros.com.br
  # www.metal.pl
  # www.handsforhealth.com
  # www.angelartsanctuary.com
  # www.firstnightoceancounty.org
  # www.chinasenfa.com
  # www.chinasenfa.com
  # www.ulpiano.org
  # www.gamp.pl
  # www.vikingpc.pl
  # www.woundedshepherds.com
  # www.cpc.adv.br
  # www.velocityprint.com
  # www.esperanzaparalafamilia.com
  # www.celula.com.mx
  # www.mexis.com
  # www.wecompete.com
  # www.vbw.info
  # www.gfn.org
  # www.aegee.org
  # www.deadrobot.com
  # www.cscliberec.cz
  # www.ecofotos.com.br
  # www.amanit.ru
  # www.bga-gsm.ru
  # www.innnewport.com
  # www.knicks.nl
  # www.srg-neuburg.de
  # www.mepmh.de
  # www.mepbisu.de
  # www.kradtraining.de
  # www.polizeimotorrad.de
  # www.sea.bz.it
  # www.uslungiarue.it
  # www.gcnet.ru
  # www.aimcenter.net
  # www.vandermost.de
  # www.vandermost.de
  # www.szantomierz.art.pl
  # www.immonaut.sk
  # www.eurostavba.sk
  # www.spadochron.pl
  # www.pyrlandia-boogie.pl
  # www.kps4parents.com
  # www.pipni.cz
  # www.selu.edu
  # www.travelchronic.de
  # www.fleigutaetscher.ch
  # www.irakli.org
  # www.oboe-online.com
  # www.oboe-online.com
  # www.pe-sh.com
  # www.idb-group.net
  # www.ceskyhosting.cz
  # www.ceskyhosting.cz
  # www.hartacorporation.com
  # www.glass.la
  # www.glass.la
  # www.24-7-transportation.com
  # www.fepese.ufsc.br
  # www.ellarouge.com.au
  # www.bbsh.org
  # www.boneheadmusic.com
  # www.sljinc.com
  # www.tivogoddess.com
  # www.fcpages.com
  # www.szantomierz.art.pl
  # www.elenalazar.com
  # www.ssmifc.ca
  # www.reliance-yachts.com
  # www.worest.com.ar
  # www.kps4parents.com
  # www.coolfreepages.com
  # www.scanex-medical.fi
  # www.jimvann.com
  # www.orari.net
  # www.himpsi.org
  # www.mtfdesign.com
  # www.jldr.ca
  # www.relocationflorida.com
  # www.rentalstation.com
  # www.approved1stmortgage.com
  # www.velezcourtesymanagement.com
  # www.sunassetholdings.com
  # www.compsolutionstore.com
  # www.uhcc.com
  # www.justrepublicans.com
  # www.pfadfinder-leobersdorf.com
  # www.featech.com
  # www.vinirforge.com
  # www.magicbottle.com.tw
  # www.giantrevenue.com
  # www.couponcapital.net
  # www.crystalrose.ca
  # www.crystalrose.ca
  # www.crystalrose.ca
  # www.crystalrose.ca 

6. Ищет на жестком диске папки, содержащие строку "shar" и копирует себя с одним из следующих имен:

  # Microsoft Office 2003 Crack, Working!.exe
  # Microsoft Windows XP, WinXP Crack, working Keygen.exe
  # Microsoft Office XP working Crack, Keygen.exe
  # Porno, sex, oral, anal cool, awesome!!.exe
  # Porno Screensaver.scr
  # Serials.txt.exe
  # KAV 5.0
  # Kaspersky Antivirus 5.0
  # Porno pics arhive, xxx.exe
  # Windows Sourcecode update.doc.exe
  # Ahead Nero 7.exe
  # Windown Longhorn Beta Leak.exe
  # Opera 8 New!.exe
  # XXX hardcore images.exe
  # WinAmp 6 New!.exe
  # WinAmp 5 Pro Keygen Crack Update.exe
  # Adobe Photoshop 9 full.exe
  # Matrix 3 Revolution English Subtitles.exe
  # ACDSee 9.exe 

7. Пытается прекратить работу следующих сервисов:

 
  # "SharedAccess" - Internet Connection Sharing
  # "wscsvc" - MS security center 

8. Оставляет лазейку на 81 TCP порту.

9. Ищет email адреса в файлах с расширениями

  # .wab
  # .txt
  # .msg
  # .htm
  # .shtm
  # .stm
  # .xml
  # .dbx
  # .mbx
  # .mdx
  # .eml
  # .nch
  # .mmf
  # .ods
  # .cfg
  # .asp
  # .php
  # .pl
  # .wsh
  # .adb
  # .tbb
  # .sht
  # .xls
  # .oft
  # .uin
  # .cgi
  # .mht
  # .dhtm
  # .jsp 

10. Использует собственный SMTP сервер для рассылки email сообщений по адресам, которые найдет.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь