Показано с 1 по 1 из 1.

Email-Worm.Win32.Bagle.bz, .ca, .cb

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3709

    Exclamation Email-Worm.Win32.Bagle.bz, .ca, .cb

    Email-Worm.Win32.Bagle.bz, .ca, .cb
    11 авг 2005

    *****
    Сегодня "Лаборатория Касперского" зафиксировала появление
    новых модификаций вредоносной программы Email-Worm.Win32.Bagle (на
    данный момент в антивирусные базы добавлено 4 новых модификации :
    Email-Worm.Win32.Bagle.bz, .ca, .cb, .cc) . Были обновлены механизмы
    работы всех компонентов вредоносной программы, обновлены ссылки,
    перепакованы и разосланы при помощи спам-рассылки старые версии данного
    червя.

    Эксперты "Лаборатории Касперского" предупреждают пользователей Интернета
    о том, что необходимо быть максимально осторожными при работе с
    электронной почтой. Процедуры детектирования и удаления червя уже
    добавлены в базы данных Антивируса Касперского.

    Email-Worm.Win32.Bagle.cc - это вариант червя Bagle, в котором
    отсутствует функция саморазмножения, однако все прочие функции полностью
    соответствуют червям семейства Bagle. Он был разослан при помощи
    спам-рассылки. По своему функционалу практически повторяет версию
    Email-Worm.Win32.Bagle.bj и некоторые модификации из детекшена
    Email-Worm.Win32.Bagle.pac

    Зараженные письма либо имеют пустое поле темы и не имеют тела письма,
    либо содержат произвольный текст и имя вложения.

    Тело червя прикреплено к письму в виде аттача - ZIP-файла размером
    около 18 КБ.

    Вложение может иметь следующее название:

    "to_reduce_the_tax.zip"

    Червь представляет собой PE EXE-файл. Упакован PEX. Размер в пакованом
    виде - примерно 36 КБ.

    Инсталляция

    После запуска червь открывает пустое окно обработчика TXT-файлов,
    установленного в системе по умолчанию (чаще всего это программа
    Notepad/"Блокнот").

    При инсталляции червь создает в системном каталоге Windows файлы с
    именами "winshost.exe" и "wiwshost.exe":

    %System%\winshost.exe
    %System%\wiwshost.exe

    Затем червь регистрирует себя в ключах автозапуска системного реестра:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "winshost.exe" = "%System%\winshost.exe"

    Распространение

    Данная модификация червя самостоятельно не размножается. Она была
    разослана по спам-рассылке. Зараженные письма имеют пустое поле темы и
    не имеют тела письма.

    Действие

    С целью блокирования запуска антивирусов и межсетевых экранов червь
    удаляет следующие ключи реестра:

    [HKLM\SOFTWARE\Agnitum] [HKLM\SOFTWARE\KasperskyLab]
    [HKLM\SOFTWARE\McAfee]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \APVXDWIN]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_cc]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_emc]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ccApp]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \KAV50]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee Guardian]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee.InstantUpdate.Monitor]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \NAV CfgWiz]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SSC_UserPrompt]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Symantec NetDriver
    Monitor]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Zone Labs
    Client]
    [HKLM\SOFTWARE\Panda Software]
    [HKLM\SOFTWARE\Symantec]
    [HKLM\SOFTWARE\Zone Labs]

    Червь выгружает из памяти системы различные процессы, соответствующие
    некоторым антивирусным программам и межсетевым экранам.
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 62
    Последнее сообщение: 22.02.2009, 04:55
  2. Email-Worm.Win32.Bagle.of сидит в кэше IE как b64_31.jpeg
    От Stepanyuk в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 14.02.2008, 18:05
  3. Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 8
    Последнее сообщение: 07.09.2006, 19:29
  4. Trojan.Lodear.D;Email.Worm.Bagle
    От paralit в разделе Помогите!
    Ответов: 32
    Последнее сообщение: 09.07.2006, 22:08
  5. Предупреждение: Email-Worm.Win32.Bagle.eb
    От ALEX(XX) в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 23.11.2005, 15:18

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00758 seconds with 16 queries