W32.Beagle.AV@mm

W32.Beagle.AV@mm - это червь массовой рассылки, который распространяется через файло-обменные сети. Червь оставляет лазейку на 81 TCP порту.

W32.Beagle.AV@mm - это червь массовой рассылки, который распространяется через файло-обменные сети. Червь оставляет лазейку на 81 TCP порту.

При запуске W32.Beagle.AV@mm выполняет следующие действия:

1. Открывает один из следующих файлов:

 # %System%\wingo.exe
 # %System%\wingo.exeopen
 # %System%\wingo.exeopenopen 

Также может скопировать себя как:

 
 # %System%\wingo.exeopenopenopen
 # %System%\wingo.exeopenopenopenopen 

2. Добавляет значение:

 "wingo" = "%System%\wingo.exe" 
в ключ реестра:
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

3. Добавляет значение:

 
 "Timekey" = "[Random variables]" 
в следующий ключ реестра:
 HKEY_CURRENT_USER\Software\Microsoft\Params

4. Завершает работу следующих процессов:

 # mcagent.exe
 # mcvsshld.exe
 # mcshield.exe
 # mcvsescn.exe
 # mcvsrte.exe
 # DefWatch.exe
 # Rtvscan.exe
 # ccEvtMgr.exe
 # NISUM.EXE
 # ccPxySvc.exe
 # navapsvc.exe
 # NPROTECT.EXE
 # nopdb.exe
 # ccApp.exe
 # Avsynmgr.exe
 # VsStat.exe
 # Vshwin32.exe
 # alogserv.exe
 # RuLaunch.exe
 # Avconsol.exe
 # PavFires.exe
 # FIREWALL.EXE
 # ATUPDATER.EXE
 # LUALL.EXE
 # DRWEBUPW.EXE
 # AUTODOWN.EXE
 # NUPGRADE.EXE
 # OUTPOST.EXE
 # ICSSUPPNT.EXE
 # ICSUPP95.EXE
 # ESCANH95.EXE
 # AVXQUAR.EXE
 # ESCANHNT.EXE
 # ATUPDATER.EXE
 # AUPDATE.EXE
 # AUTOTRACE.EXE
 # AUTOUPDATE.EXE
 # AVXQUAR.EXE
 # AVWUPD32.EXE
 # AVPUPD.EXE
 # CFIAUDIT.EXE
 # UPDATE.EXE
 # NUPGRADE.EXE
 # MCUPDATE.EXE
 # pavsrv50.exe
 # AVENGINE.EXE
 # APVXDWIN.EXE
 # pavProxy.exe
 # navapw32.exe
 # navapsvc.exe
 # ccProxy.exe
 # navapsvc.exe
 # NPROTECT.EXE
 # SAVScan.exe
 # SNDSrvc.exe
 # symlcsvc.exe
 # LUCOMS~1.EXE
 # blackd.exe
 # bawindo.exe
 # FrameworkService.exe
 # VsTskMgr.exe
 # SHSTAT.EXE
 # UpdaterUI.exe 

5. Пытается загрузить файл из одного из следующих URL, копирует его в %System%\re_file.exe и затем выполняет его:

 # www.bottombouncer.com
 # www.bottombouncer.com
 # www.anthonyflanagan.com
 # www.bradster.com
 # www.traverse.com
 # www.ims-i.com
 # www.realgps.com
 # www.aviation-center.de
 # www.gci-bln.de
 # www.pankration.com
 # www.jansenboiler.com
 # www.corpsite.com
 # www.everett.wednet.edu
 # www.onepositiveplace.org
 # www.raecoinc.com
 # www.wwwebad.com
 # www.corpsite.com
 # www.wwwebmaster.com
 # www.wwwebad.com
 # www.dragcar.com
 # www.wwwebad.com
 # www.oohlala-kirkland.com
 # www.calderwoodinn.com
 # www.buddyboymusic.com
 # www.smacgreetings.com
 # www.tkd2xcell.com
 # www.curtmarsh.com
 # www.dontbeaweekendparent.com
 # www.soloconsulting.com
 # www.lasermach.com
 # www.generationnow.net
 # www.flashcorp.com
 # www.kencorbett.com
 # www.FritoPie.NET
 # www.leonhendrix.com
 # www.transportation.gov.bh
 # www.transportation.gov.bh
 # www.jhaforpresident.7p.com
 # www.DarrkSydebaby.com
 # www.cntv.info
 # www.sugardas.lt
 # www.adhdtests.com
 # www.argontech.net
 # www.customloyal.com
 # www.ohiolimo.com
 # www.topko.sk
 # www.alupass.lu
 # www.sigi.lu
 # www.redlightpictures.com
 # www.irinaswelt.de
 # www.bueroservice-it.de
 # www.kranenberg.de
 # www.kranenberg.de
 # www.the-fabulous-lions.de
 # www.the-fabulous-lions.de
 # www.mongolische-renner.de
 # www.mongolische-renner.de
 # www.capri-frames.de
 # www.capri-frames.de
 # www.aimcenter.net
 # www.boneheadmusic.com
 # www.fludir.is
 # www.sljinc.com
 # www.tivogoddess.com
 # www.fcpages.com
 # www.andara.com
 # www.freeservers.com
 # www.programmierung2000.de
 # www.asianfestival.nl
 # www.aviation-center.de
 # www.gci-bln.de
 # www.mass-i.kiev.ua
 # www.jasnet.pl
 # www.atlantisteste.hpg.com.br
 # www.fludir.is
 # www.rieraquadros.com.br
 # www.metal.pl
 # www.handsforhealth.com
 # www.angelartsanctuary.com
 # www.firstnightoceancounty.org
 # www.chinasenfa.com
 # www.chinasenfa.com
 # www.ulpiano.org
 # www.gamp.pl
 # www.vikingpc.pl
 # www.woundedshepherds.com
 # www.cpc.adv.br
 # www.velocityprint.com
 # www.esperanzaparalafamilia.com
 # www.celula.com.mx
 # www.mexis.com
 # www.wecompete.com
 # www.vbw.info
 # www.gfn.org
 # www.aegee.org
 # www.deadrobot.com
 # www.cscliberec.cz
 # www.ecofotos.com.br
 # www.amanit.ru
 # www.bga-gsm.ru
 # www.innnewport.com
 # www.knicks.nl
 # www.srg-neuburg.de
 # www.mepmh.de
 # www.mepbisu.de
 # www.kradtraining.de
 # www.polizeimotorrad.de
 # www.sea.bz.it
 # www.uslungiarue.it
 # www.gcnet.ru
 # www.aimcenter.net
 # www.vandermost.de
 # www.vandermost.de
 # www.szantomierz.art.pl
 # www.immonaut.sk
 # www.eurostavba.sk
 # www.spadochron.pl
 # www.pyrlandia-boogie.pl
 # www.kps4parents.com
 # www.pipni.cz
 # www.selu.edu
 # www.travelchronic.de
 # www.fleigutaetscher.ch
 # www.irakli.org
 # www.oboe-online.com
 # www.oboe-online.com
 # www.pe-sh.com
 # www.idb-group.net
 # www.ceskyhosting.cz
 # www.ceskyhosting.cz
 # www.hartacorporation.com
 # www.glass.la
 # www.glass.la
 # www.24-7-transportation.com
 # www.fepese.ufsc.br
 # www.ellarouge.com.au
 # www.bbsh.org
 # www.boneheadmusic.com
 # www.sljinc.com
 # www.tivogoddess.com
 # www.fcpages.com
 # www.szantomierz.art.pl
 # www.elenalazar.com
 # www.ssmifc.ca
 # www.reliance-yachts.com
 # www.worest.com.ar
 # www.kps4parents.com
 # www.coolfreepages.com
 # www.scanex-medical.fi
 # www.jimvann.com
 # www.orari.net
 # www.himpsi.org
 # www.mtfdesign.com
 # www.jldr.ca
 # www.relocationflorida.com
 # www.rentalstation.com
 # www.approved1stmortgage.com
 # www.velezcourtesymanagement.com
 # www.sunassetholdings.com
 # www.compsolutionstore.com
 # www.uhcc.com
 # www.justrepublicans.com
 # www.pfadfinder-leobersdorf.com
 # www.featech.com
 # www.vinirforge.com
 # www.magicbottle.com.tw
 # www.giantrevenue.com
 # www.couponcapital.net
 # www.crystalrose.ca
 # www.crystalrose.ca
 # www.crystalrose.ca
 # www.crystalrose.ca 

6. Ищет на жестком диске папки, содержащие строку "shar" и копирует себя с одним из следующих имен:

 # Microsoft Office 2003 Crack, Working!.exe
 # Microsoft Windows XP, WinXP Crack, working Keygen.exe
 # Microsoft Office XP working Crack, Keygen.exe
 # Porno, sex, oral, anal cool, awesome!!.exe
 # Porno Screensaver.scr
 # Serials.txt.exe
 # KAV 5.0
 # Kaspersky Antivirus 5.0
 # Porno pics arhive, xxx.exe
 # Windows Sourcecode update.doc.exe
 # Ahead Nero 7.exe
 # Windown Longhorn Beta Leak.exe
 # Opera 8 New!.exe
 # XXX hardcore images.exe
 # WinAmp 6 New!.exe
 # WinAmp 5 Pro Keygen Crack Update.exe
 # Adobe Photoshop 9 full.exe
 # Matrix 3 Revolution English Subtitles.exe
 # ACDSee 9.exe 

7. Пытается прекратить работу следующих сервисов:

 
 # "SharedAccess" - Internet Connection Sharing
 # "wscsvc" - MS security center 

8. Оставляет лазейку на 81 TCP порту.

9. Ищет email адреса в файлах с расширениями

 # .wab
 # .txt
 # .msg
 # .htm
 # .shtm
 # .stm
 # .xml
 # .dbx
 # .mbx
 # .mdx
 # .eml
 # .nch
 # .mmf
 # .ods
 # .cfg
 # .asp
 # .php
 # .pl
 # .wsh
 # .adb
 # .tbb
 # .sht
 # .xls
 # .oft
 # .uin
 # .cgi
 # .mht
 # .dhtm
 # .jsp 

10. Использует собственный SMTP сервер для рассылки email сообщений по адресам, которые найдет.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.