Показано с 1 по 2 из 2.

Описание Win32.HLLM.Beagle.38912 (Win32.Bagle.eh)

  1. 09.11.2005, 01:24 #1
    Alexey P.
    Alexey P. вне форума
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763

    Описание Win32.HLLM.Beagle.38912 (Win32.Bagle.eh)

    Win32.Fantibag.H

    Description Published: Wednesday, November 02, 2005
    Description Modified: Monday, November 07, 2005

    Также известен как Win32/Glieder.CD!Trojan, Trojan.LodAV.A (Symantec), Email-Worm.Win32.Bagle.eh (Kaspersky)

    Описание:
    Win32.Fantibag.H - троян, который создает фильтры для IPv4 пакетов для блокировки доступа к доменам многих антивирусных компаний. Этот троян возможно, загружается на компьютеры, зараженные Win32.Glieder (троян, который грузит и запускает exe с различных URLs).

    Метод инфекции:

    При запуске копирует себя в:

    %System%\antiav_exe.exe

    Модифицирует реестр для запуска "antiav_exe.exe" при загрузке Windows:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run \auto__antiav__key = "%System%\antiav_exe.exe"
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run \auto__antiav__key = "%System%\antiav_exe.exe"

    Создает %System%\antiav_dll.dll (15,107 bytes). Эта Dll внедряется в процесс explorer.exe, работая таким образом под его именем.

    Выполняемые действия:
    Изменяется поведение компьютера в сети.

    Троян содержит список свыше 150 доменов антивирусных компаний для блокировки получения обновлений. Это достигается созданием фильтров входящих и исходящих TCP пакетов, убивающих пакеты с IP адресами из списка.

    Для каждого из указанных доменных имен выполняется DNS ресольвинг, и затем фильтруются пакеты с полученными IP адресами и маской 255.255.255.0.

    Завершает процессы.
    "antiav_dll.dll") пытается завершить следующие процессы (связанные с антивирусами и др. защитными приложениями):

    ashAvast.exe
    ashDisp.exe
    ashEnhcd.exe
    ashPopWz.exe
    ashShA64.dll
    ashSimpl.exe
    ashSkPck.exe
    ashWebSv.exe
    AUPDATE.EXE
    Avconsol.exe
    avgcc.exe
    AVGCMSG.DLL
    avgemc.exe
    AVGNT.EXE
    AVSCHED32.DLL
    AVSCHED32.EXE
    Avsynmgr.exe
    AVWUPD32.EXE
    BCGCB59.dll
    bdmcon.exe
    bdnews.exe
    bdsubmit.exe
    bdswitch.exe
    cafix.exe
    ccApp.exe
    CCEVTMGR.EXE
    ccl30.dll
    CCSETMGR.EXE
    ccvrtrst.dll
    ClamTray.exe
    ClamWin.exe
    CMGrdian.exe
    D2htls32.dll
    drwadins.exe
    drweb32w.exe
    drwebscd.exe
    drwebupw.exe
    FFJMPWEB.DLL
    freshclam.exe
    GUARDEVT.DLL
    GUARDGUI.EXE
    GUARDMSG.DLL
    GuardNT.exe
    IksysT32.dll
    INETUPD.EXE
    InocIT.exe
    InoOEM.dll
    InoOption.dll
    InoUpTNG.exe
    isafe.exe
    KAV.exe
    kavmm.exe
    KAVPF.exe
    LUALL.EXE
    LUINSDLL.DLL
    Luupdate.exe
    Mcshield.exe
    NAVAPSVC.EXE
    nod32.exe
    nod32api.dll
    nod32kui.exe
    NPFMNTOR.EXE
    npfmsg.exe
    Nvccf0D.dll
    Nvcevlog.dll
    Nvcod.exe
    Nvcte.exe
    Nvcut.exe
    OCONNDLG.DLL
    OCOOKDLG.DLL
    outpost.exe
    pccguide.exe
    PcCtlCom.exe
    python23.dll
    QHPF.EXE
    Realmon.exe
    regedit.exe
    regedt32.exe
    RuLaunch.exe
    schface.dll
    SNDSrvc.exe
    SPBBCSvc.exe
    spiderml.exe
    symlcsvc.exe
    T2w32.dll
    Tmntsrv.exe
    TmPfw.exe
    tmproxy.exe
    Up2Date.exe
    upgrepl.exe
    Vba32ECM.exe
    Vba32ifs.exe
    vba32ldr.exe
    Vba32PP3.exe
    vbaifps.dll
    vetredir.dll
    Vshwin32.exe
    VsStat.exe
    vsvault.dll
    XT1922.dll
    zatutor.exe
    zlavscan.dll
    zlclient.exe
    zonealarm.exe
    Stops and Disables Services

    Пытается остановить и запретить следующие сервисы:

    Ahnlab task Scheduler
    alerter
    AlertManger
    AntiVir Service
    aswUpdSv
    Ati HotKey Poller
    avast! Antivirus
    AVEService
    AVExch32Service
    avg7alrt
    avg7updsvc
    AvgCore
    AvgFsh
    AvgServ
    AVIRAMailService
    AVIRAService
    avpcc
    AVUPDService
    AVWUpSrv
    AvxIni
    awhost32
    backweb client - 4476822
    BackWeb Client - 7681197
    backweb client-4476822
    bdss
    BlackICE
    CAISafe
    ccEvtMgr
    ccPwdSvc
    ccSetMgr
    ccSetMgr.exe
    DefWatch
    dvpapi
    dvpinit
    F-Secure Gatekeeper Handler Starter
    fsbwsys
    fsdfwd
    FSMA
    Guard NT
    InoRpc
    InoRT
    InoTask
    KAVMonitorService
    kavsvc
    KLBLMain
    McAfee Firewall
    McAfeeFramework
    McShield
    McTaskManager
    mcupdmgr.exe
    MCVSRte
    MonSvcNT
    navapsvc
    Network Associates Log Service
    nipsvc
    NISSERV
    NISUM
    NOD32ControlCenter
    NOD32Service
    Norman NJeeves
    Norman Type-R
    Norman ZANDA
    Norton Antivirus Server
    NPFMntor
    NProtectService
    NSCTOP
    nvcoas
    NVCScheduler
    nwclntc
    nwclntd
    nwclnte
    nwclntf
    nwclntg
    nwclnth
    NWService
    Outbreak Manager
    Outpost Firewall
    OutpostFirewall
    PASSRV
    PAVFNSVR
    Pavkre
    PavProt
    PavPrSrv
    PAVSRV
    PCCPFW
    PersFW
    PREVSRV
    PSIMSVC
    ravmon8
    SAVFMSE
    SAVScan
    SBService
    schscnt
    SharedAccess
    SmcService
    SNDSrvc
    SPBBCSvc
    SpiderNT
    SweepNet
    SWEEPSRV.SYS
    Symantec AntiVirus Client
    Symantec Core LC
    Tmntsrv
    V3MonNT
    V3MonSvc
    Vba32ECM
    Vba32ifs
    Vba32Ldr
    Vba32PP3
    VexiraAntivirus
    VisNetic AntiVirus Plug-in
    vsmon
    vsserv
    wscsvc
    wuauserv
    WZCSVC
    xcomm



    Изменяет системные настройки / Снижает настройки защиты :

    Троян пытается удалить следующие ключи реестра, если они существуют:

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee.InstantUpdate.Monitor
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \APVXDWIN
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \KAV50
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee Guardian
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \NAV CfgWiz
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SSC_UserPrompt
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Symantec NetDriver Monitor
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Zone Labs Client
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_cc
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_emc
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ccApp

    а также ветви:

    HKLM\SOFTWARE\Agnitum
    HKLM\SOFTWARE\KasperskyLab
    HKLM\SOFTWARE\McAfee
    HKLM\SOFTWARE\Panda Software
    HKLM\SOFTWARE\Symantec
    HKLM\SOFTWARE\Zone Labs


    Троян ищет на жестких дисках и пытается удалить нижеперечисленные файлы. Если файл не может быть удален, пытается переименовать - новое имя см. в правой колонке.

    ashAvast.exe 1ashAvast.exe
    ashDisp.exe 1ashDisp.exe
    ashEnhcd.exe 1ashEnhcd.exe
    ashPopWz.exe 1ashPopWz.exe
    ashShA64.dll 1ashShA64.dll
    ashSimpl.exe 1ashSimpl.exe
    ashSkPck.exe 1ashSkPck.exe
    ashWebSv.exe 1ashWebSv.exe
    AUPDATE.EXE 1AUPDATE.EXE
    Avconsol.exe 1Avconsol.exe
    avgcc.exe 1avgcc.exe
    AVGCMSG.DLL 1AVGCMSG.DLL
    avgemc.exe 1avgemc.exe
    AVGNT.EXE 1AVGNT.EXE
    AVSCHED32.DLL 1AVSCHED32.DLL
    AVSCHED32.EXE 1AVSCHED32.EXE
    Avsynmgr.exe 1Avsynmgr.exe
    AVWUPD32.EXE 1AVWUPD32.EXE
    BCGCB59.dll 1BCGCB59.dll
    bdmcon.exe 1bdmcon.exe
    bdnews.exe 1bdnews.exe
    bdsubmit.exe 1bdsubmit.exe
    bdswitch.exe 1bdswitch.exe
    cafix.exe 1cafix.exe
    ccApp.exe 1ccApp.exe
    CCEVTMGR.EXE 1CCEVTMGR.EXE
    ccl30.dll 1ccl30.dll
    CCSETMGR.EXE 1CCSETMGR.EXE
    ccvrtrst.dll 1ccvrtrst.dll
    ClamTray.exe 1ClamTray.exe
    ClamWin.exe 1ClamWin.exe
    CMGrdian.exe 1CMGrdian.exe
    D2htls32.dll 1D2htls32.dll
    drwadins.exe 1drwadins.exe
    drweb32w.exe 1drweb32w.exe
    drwebscd.exe 1drwebscd.exe
    drwebupw.exe 1drwebupw.exe
    FFJMPWEB.DLL 1FFJMPWEB.DLL
    freshclam.exe 1freshclam.exe
    GUARDEVT.DLL 1GUARDEVT.DLL
    GUARDGUI.EXE 1GUARDGUI.EXE
    GUARDMSG.DLL 1GUARDMSG.DLL
    GuardNT.exe 1GuardNT.exe
    IksysT32.dll 1IksysT32.dll
    INETUPD.EXE 1INETUPD.EXE
    InocIT.exe 1InocIT.exe
    InoOEM.dll 1InoOEM.dll
    InoOption.dll 1InoOption.dll
    InoUpTNG.exe 1InoUpTNG.exe
    isafe.exe 1isafe.exe
    KAV.exe 1KAV.exe
    kavmm.exe 1kavmm.exe
    KAVPF.exe 1KAVPF.exe
    LUALL.EXE 1LUALL.EXE
    LUINSDLL.DLL 1LUINSDLL.DLL
    Luupdate.exe 1Luupdate.exe
    Mcshield.exe 1Mcshield.exe
    NAVAPSVC.EXE 1NAVAPSVC.EXE
    nod32.exe 1nod32.exe
    nod32api.dll 1nod32api.dll
    nod32kui.exe 1nod32kui.exe
    NPFMNTOR.EXE 1NPFMNTOR.EXE
    npfmsg.exe 1npfmsg.exe
    Nvccf0D.dll 1Nvccf0D.dll
    Nvcevlog.dll 1Nvcevlog.dll
    Nvcod.exe 1Nvcod.exe
    Nvcte.exe 1Nvcte.exe
    Nvcut.exe 1Nvcut.exe
    OCONNDLG.DLL 1OCONNDLG.DLL
    OCOOKDLG.DLL 1OCOOKDLG.DLL
    outpost.exe 1outpost.exe
    pccguide.exe 1pccguide.exe
    PcCtlCom.exe 1PcCtlCom.exe
    python23.dll 1python23.dll
    QHPF.EXE 1QHPF.EXE
    Realmon.exe 1Realmon.exe
    regedit.exe 1regedit.exe
    regedt32.exe 1regedt32.exe
    RuLaunch.exe 1RuLaunch.exe
    schface.dll 1schface.dll
    SNDSrvc.exe S1NDSrvc.exe
    SPBBCSvc.exe S1PBBCSvc.exe
    spiderml.exe s1piderml.exe
    symlcsvc.exe s1ymlcsvc.exe
    T2w32.dll T12w32.dll
    Tmntsrv.exe T1mntsrv.exe
    TmPfw.exe Tm1Pfw.exe
    tmproxy.exe tm1proxy.exe
    Up2Date.exe U1p2Date.exe
    upgrepl.exe u1pgrepl.exe
    Vba32ECM.exe V1ba32ECM.exe
    Vba32ifs.exe V1ba32ifs.exe
    vba32ldr.exe v1ba32ldr.exe
    Vba32PP3.exe V1ba32PP3.exe
    vbaifps.dll vb1aifps.dll
    vetredir.dll v1etredir.dll
    Vshwin32.exe Vs1hwin32.exe
    VsStat.exe Vs1Stat.exe
    vsvault.dll vs1vault.dll
    XT1922.dll XT11922.dll
    zatutor.exe za1tutor.exe
    zlavscan.dll zla1vscan.dll
    zlclient.exe zl1client.exe
    zonealarm.exe zo1nealarm.exe

    Analysis by Scott Molenkamp

    ----------------------------------------------------------------
    Оригинал - см.
    http://www3.ca.com/securityadvisor/v....aspx?id=47824
    Ответить с цитированием Ответить с цитированием
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
  3. 09.11.2005, 06:51 #2
    santy
    santy вне форума
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1148
    хорошее описание!
    Эта модификация Багла в последнее время очень активна в почтовых рассылках.
    Ответить с цитированием Ответить с цитированием
« Предыдущая тема | Следующая тема »

Похожие темы

  1. Win32.HLLM.Beagle (Bagle)
    От NABLA1986 в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 28.07.2009, 01:25
  2. Win32.HLLM.Beagle
    От VVVlad в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 28.04.2009, 16:00
  3. Win32.HLLM.Beagle
    От seezamm в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 17.10.2008, 17:14
  4. Win32.HLLM.Beagle
    От 7turtles в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 24.04.2007, 01:49
  5. Новая разновидность -Win32.HLLM.Beagle.38912?
    От kayman в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 10.11.2006, 09:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Правила форума

Page generated in 0.01460 seconds with 17 queries