Новый вариант почтового червя Beagle распространяется по сети интернет

28 января 2005

Аналитиками Службы вирусного мониторинга компании «Доктор Веб» зафиксировано появление в сети Интернет нового клона червя массовой рассылки из семейства Beagle, активно распространяющегося по электронной почте и файлообемнным сетям - двум наиболее эффективным и быстрым источникам массового инфицирования компьютеров по всему миру. Антивирусом Dr.Web червь детектируется как Win32.HLLM.Beagle.18336, в классификации других антивирусных производителей он назван W32/Bagle.bj@MM, WORM_BAGLE.AY.

Исполняемый код червя приходит по электронной почте в виде файлов-вложений с расширениями .com, .exe, .src или .cpl, названия которых состоят из набора букв и цифр, например guupd02, а после активации помещает свои копии sysformat.exe, sysformat.exeopen, sysformat.exeopenopen в системной директории Windows и прописывает ссылку к ним в ветке системного реестра

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Распространение по e-mail

С помощью встроенного в код собственного механизма SMTP, червь самостоятельно рассылает себя с уже инфицированных компьютеров. Для этого червь собирает в пораженной системе имеющиеся почтовые адреса в файлах с определенными расширениями и формирует собственные почтовые сообщения, состоящие из ложного адреса отправителя, темы и сопроводительного текста, который может состоять всего из одной фразы

Thanks for use of our software
или
Before use read the help.

Распространение по файлообменным сетям

По файлообменным сетям червь распространяется, прописывая себя в директории, в названиях которых присутствует последовательность символов «shar», выдавая себя за файлы, относящиеся к популярным программам, в том числе и бета версии Windows Longhorn.

Загрузка троянской программы

В теле червя содержится немалый список веб-сайтов, с которых червь предпринимает попытки загрузить файл error.jpg, который представляет собой утилиту удаленного администрирования.

Деструктивное воздействие на систему

Червь удаляет из пораженной системы файлы, относящиеся к установленным антивирусным программам, в том числе и DRWEBUPW.EXE - утилиту автоматической загрузки обновлений антивируса Dr.Web. В случае, если пользователям Dr.Web не удается загрузить последние обновления вирусных баз, они могут скачать их вручную с сайта компании "Доктор Веб".

Червь также удаляет из ветвей системного реестра

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun

значения, принадлежащие его «сопернику» - червю Netsky

My AV
ICQ Net

Защита от нового почтового червя уже добавлена в вирусные базы Dr.Web® ("горячее" дополнение выпущено в 09:42 по московскому времени 27 января).

Компания «Доктор Веб» настоятельно рекомендует не открывать подозрительные сообщения, письма от незнакомых или едва знакомых адресатов, если они приходят с вложениями, вызывающими у Вас подозрения. В случае, если на Вашем компьютере не установлена антивирусная программа, Вы всегда можете проверить подозрительный файл-вложение с помощью сервиса вирусной онлайн-проверки, загрузив такой файл через форму.

Источник: http://www.drweb.com

234
;