Показано с 1 по 2 из 2.

Новый вариант почтового червя Beagle

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Новый вариант почтового червя Beagle

    Новый вариант почтового червя Beagle распространяется по сети интернет

    Аналитиками Службы вирусного мониторинга компании «Доктор Веб» зафиксировано появление в сети Интернет нового клона червя массовой рассылки из семейства Beagle, активно распространяющегося по электронной почте и файлообемнным сетям - двум наиболее эффективным и быстрым источникам массового инфицирования компьютеров по всему миру. Антивирусом Dr.Web червь детектируется как Win32.HLLM.Beagle.18336, в классификации других антивирусных производителей он назван W32/Bagle.bj@MM, WORM_BAGLE.AY.

    Исполняемый код червя приходит по электронной почте в виде файлов-вложений с расширениями .com, .exe, .src или .cpl, названия которых состоят из набора букв и цифр, например guupd02, а после активации помещает свои копии sysformat.exe, sysformat.exeopen, sysformat.exeopenopen в системной директории Windows и прописывает ссылку к ним в ветке системного реестра

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

    Распространение по e-mail

    С помощью встроенного в код собственного механизма SMTP, червь самостоятельно рассылает себя с уже инфицированных компьютеров. Для этого червь собирает в пораженной системе имеющиеся почтовые адреса в файлах с определенными расширениями и формирует собственные почтовые сообщения, состоящие из ложного адреса отправителя, темы и сопроводительного текста, который может состоять всего из одной фразы

    Thanks for use of our software
    или
    Before use read the help.

    Распространение по файлообменным сетям

    По файлообменным сетям червь распространяется, прописывая себя в директории, в названиях которых присутствует последовательность символов «shar», выдавая себя за файлы, относящиеся к популярным программам, в том числе и бета версии Windows Longhorn.

    Загрузка троянской программы

    В теле червя содержится немалый список веб-сайтов, с которых червь предпринимает попытки загрузить файл error.jpg, который представляет собой утилиту удаленного администрирования.

    Деструктивное воздействие на систему

    Червь удаляет из пораженной системы файлы, относящиеся к установленным антивирусным программам, в том числе и DRWEBUPW.EXE - утилиту автоматической загрузки обновлений антивируса Dr.Web. В случае, если пользователям Dr.Web не удается загрузить последние обновления вирусных баз, они могут скачать их вручную с нашего сайта.

    Червь также удаляет из ветвей системного реестра

    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run

    значения, принадлежащие его «сопернику» - червю Netsky

    My AV
    ICQ Net

    Защита от нового почтового червя уже добавлена в вирусные базы Dr.Web® ("горячее" дополнение выпущено в 09:42 по московскому времени 27 января).

    Компания «Доктор Веб» настоятельно рекомендует не открывать подозрительные сообщения, письма от незнакомых или едва знакомых адресатов, если они приходят с вложениями, вызывающими у Вас подозрения. В случае, если на Вашем компьютере не установлена антивирусная программа, Вы всегда можете проверить подозрительный файл-вложение с помощью сервиса вирусной онлайн-проверки

    На сайте касперского обьявлена вирусная эпидемия по вышеуказанному вирусу.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Re:Новый вариант почтового червя Beagle

    Действие

    При активизации червь уничтожает следующие процессы, осуществляющие персональную защиту компьютера и локальных подсетей:

    * alogserv.exe
    * APVXDWIN.EXE
    * ATUPDATER.EXE
    * ATUPDATER.EXE
    * AUPDATE.EXE
    * AUTODOWN.EXE
    * AUTOTRACE.EXE
    * AUTOUPDATE.EXE
    * Avconsol.exe
    * AVENGINE.EXE
    * AVPUPD.EXE
    * Avsynmgr.exe
    * AVWUPD32.EXE
    * AVXQUAR.EXE
    * AVXQUAR.EXE
    * bawindo.exe
    * blackd.exe
    * ccApp.exe
    * ccEvtMgr.exe
    * ccProxy.exe
    * ccPxySvc.exe

    ***

    * CFIAUDIT.EXE
    * DefWatch.exe
    * DRWEBUPW.EXE
    * ESCANH95.EXE
    * ESCANHNT.EXE
    * FIREWALL.EXE
    * FrameworkService.exe
    * ICSSUPPNT.EXE
    * ICSUPP95.EXE
    * LUALL.EXE
    * LUCOMS~1.EXE
    * mcagent.exe
    * mcshield.exe
    * MCUPDATE.EXE
    * mcvsescn.exe
    * mcvsrte.exe
    * mcvsshld.exe
    * navapsvc.exe
    * navapsvc.exe
    * navapsvc.exe
    * navapw32.exe

    ***

    * NISUM.EXE
    * nopdb.exe
    * NPROTECT.EXE
    * NPROTECT.EXE
    * NUPGRADE.EXE
    * NUPGRADE.EXE
    * OUTPOST.EXE
    * PavFires.exe
    * pavProxy.exe
    * pavsrv50.exe
    * Rtvscan.exe
    * RuLaunch.exe
    * SAVScan.exe
    * SHSTAT.EXE
    * SNDSrvc.exe
    * symlcsvc.exe
    * UPDATE.EXE
    * UpdaterUI.exe
    * Vshwin32.exe
    * VsStat.exe
    * VsTskMgr.exe

Похожие темы

  1. Новый вариант СМС вымогателя тел 3381
    От od4honnor в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 19.05.2010, 09:34
  2. Новый вариант буткита Mebroot
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 6
    Последнее сообщение: 14.04.2009, 09:12
  3. Angel - новый вариант whitelisting
    От Geser в разделе Новости компьютерной безопасности
    Ответов: 16
    Последнее сообщение: 01.09.2008, 20:02

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01218 seconds with 16 queries