W32.Beagle.AV@mm

W32.Beagle.AV@mm - это червь массовой рассылки, который распространяется через файло-обменные сети. Червь оставляет лазейку на 81 TCP порту.

W32.Beagle.AV@mm - это червь массовой рассылки, который распространяется через файло-обменные сети. Червь оставляет лазейку на 81 TCP порту.

При запуске W32.Beagle.AV@mm выполняет следующие действия:

1. Открывает один из следующих файлов:

# %System%\wingo.exe
# %System%\wingo.exeopen
# %System%\wingo.exeopenopen 

Также может скопировать себя как:

 
# %System%\wingo.exeopenopenopen
# %System%\wingo.exeopenopenopenopen 

2. Добавляет значение:

 "wingo" = "%System%\wingo.exe" 
в ключ реестра:
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

3. Добавляет значение:

 
"Timekey" = "[Random variables]" 
в следующий ключ реестра:
 HKEY_CURRENT_USER\Software\Microsoft\Params

4. Завершает работу следующих процессов:

# mcagent.exe
# mcvsshld.exe
# mcshield.exe
# mcvsescn.exe
# mcvsrte.exe
# DefWatch.exe
# Rtvscan.exe
# ccEvtMgr.exe
# NISUM.EXE
# ccPxySvc.exe
# navapsvc.exe
# NPROTECT.EXE
# nopdb.exe
# ccApp.exe
# Avsynmgr.exe
# VsStat.exe
# Vshwin32.exe
# alogserv.exe
# RuLaunch.exe
# Avconsol.exe
# PavFires.exe
# FIREWALL.EXE
# ATUPDATER.EXE
# LUALL.EXE
# DRWEBUPW.EXE
# AUTODOWN.EXE
# NUPGRADE.EXE
# OUTPOST.EXE
# ICSSUPPNT.EXE
# ICSUPP95.EXE
# ESCANH95.EXE
# AVXQUAR.EXE
# ESCANHNT.EXE
# ATUPDATER.EXE
# AUPDATE.EXE
# AUTOTRACE.EXE
# AUTOUPDATE.EXE
# AVXQUAR.EXE
# AVWUPD32.EXE
# AVPUPD.EXE
# CFIAUDIT.EXE
# UPDATE.EXE
# NUPGRADE.EXE
# MCUPDATE.EXE
# pavsrv50.exe
# AVENGINE.EXE
# APVXDWIN.EXE
# pavProxy.exe
# navapw32.exe
# navapsvc.exe
# ccProxy.exe
# navapsvc.exe
# NPROTECT.EXE
# SAVScan.exe
# SNDSrvc.exe
# symlcsvc.exe
# LUCOMS~1.EXE
# blackd.exe
# bawindo.exe
# FrameworkService.exe
# VsTskMgr.exe
# SHSTAT.EXE
# UpdaterUI.exe 

5. Пытается загрузить файл из одного из следующих URL, копирует его в %System%\re_file.exe и затем выполняет его:

# www.bottombouncer.com
# www.bottombouncer.com
# www.anthonyflanagan.com
# www.bradster.com
# www.traverse.com
# www.ims-i.com
# www.realgps.com
# www.aviation-center.de
# www.gci-bln.de
# www.pankration.com
# www.jansenboiler.com
# www.corpsite.com
# www.everett.wednet.edu
# www.onepositiveplace.org
# www.raecoinc.com
# www.wwwebad.com
# www.corpsite.com
# www.wwwebmaster.com
# www.wwwebad.com
# www.dragcar.com
# www.wwwebad.com
# www.oohlala-kirkland.com
# www.calderwoodinn.com
# www.buddyboymusic.com
# www.smacgreetings.com
# www.tkd2xcell.com
# www.curtmarsh.com
# www.dontbeaweekendparent.com
# www.soloconsulting.com
# www.lasermach.com
# www.generationnow.net
# www.flashcorp.com
# www.kencorbett.com
# www.FritoPie.NET
# www.leonhendrix.com
# www.transportation.gov.bh
# www.transportation.gov.bh
# www.jhaforpresident.7p.com
# www.DarrkSydebaby.com
# www.cntv.info
# www.sugardas.lt
# www.adhdtests.com
# www.argontech.net
# www.customloyal.com
# www.ohiolimo.com
# www.topko.sk
# www.alupass.lu
# www.sigi.lu
# www.redlightpictures.com
# www.irinaswelt.de
# www.bueroservice-it.de
# www.kranenberg.de
# www.kranenberg.de
# www.the-fabulous-lions.de
# www.the-fabulous-lions.de
# www.mongolische-renner.de
# www.mongolische-renner.de
# www.capri-frames.de
# www.capri-frames.de
# www.aimcenter.net
# www.boneheadmusic.com
# www.fludir.is
# www.sljinc.com
# www.tivogoddess.com
# www.fcpages.com
# www.andara.com
# www.freeservers.com
# www.programmierung2000.de
# www.asianfestival.nl
# www.aviation-center.de
# www.gci-bln.de
# www.mass-i.kiev.ua
# www.jasnet.pl
# www.atlantisteste.hpg.com.br
# www.fludir.is
# www.rieraquadros.com.br
# www.metal.pl
# www.handsforhealth.com
# www.angelartsanctuary.com
# www.firstnightoceancounty.org
# www.chinasenfa.com
# www.chinasenfa.com
# www.ulpiano.org
# www.gamp.pl
# www.vikingpc.pl
# www.woundedshepherds.com
# www.cpc.adv.br
# www.velocityprint.com
# www.esperanzaparalafamilia.com
# www.celula.com.mx
# www.mexis.com
# www.wecompete.com
# www.vbw.info
# www.gfn.org
# www.aegee.org
# www.deadrobot.com
# www.cscliberec.cz
# www.ecofotos.com.br
# www.amanit.ru
# www.bga-gsm.ru
# www.innnewport.com
# www.knicks.nl
# www.srg-neuburg.de
# www.mepmh.de
# www.mepbisu.de
# www.kradtraining.de
# www.polizeimotorrad.de
# www.sea.bz.it
# www.uslungiarue.it
# www.gcnet.ru
# www.aimcenter.net
# www.vandermost.de
# www.vandermost.de
# www.szantomierz.art.pl
# www.immonaut.sk
# www.eurostavba.sk
# www.spadochron.pl
# www.pyrlandia-boogie.pl
# www.kps4parents.com
# www.pipni.cz
# www.selu.edu
# www.travelchronic.de
# www.fleigutaetscher.ch
# www.irakli.org
# www.oboe-online.com
# www.oboe-online.com
# www.pe-sh.com
# www.idb-group.net
# www.ceskyhosting.cz
# www.ceskyhosting.cz
# www.hartacorporation.com
# www.glass.la
# www.glass.la
# www.24-7-transportation.com
# www.fepese.ufsc.br
# www.ellarouge.com.au
# www.bbsh.org
# www.boneheadmusic.com
# www.sljinc.com
# www.tivogoddess.com
# www.fcpages.com
# www.szantomierz.art.pl
# www.elenalazar.com
# www.ssmifc.ca
# www.reliance-yachts.com
# www.worest.com.ar
# www.kps4parents.com
# www.coolfreepages.com
# www.scanex-medical.fi
# www.jimvann.com
# www.orari.net
# www.himpsi.org
# www.mtfdesign.com
# www.jldr.ca
# www.relocationflorida.com
# www.rentalstation.com
# www.approved1stmortgage.com
# www.velezcourtesymanagement.com
# www.sunassetholdings.com
# www.compsolutionstore.com
# www.uhcc.com
# www.justrepublicans.com
# www.pfadfinder-leobersdorf.com
# www.featech.com
# www.vinirforge.com
# www.magicbottle.com.tw
# www.giantrevenue.com
# www.couponcapital.net
# www.crystalrose.ca
# www.crystalrose.ca
# www.crystalrose.ca
# www.crystalrose.ca 

6. Ищет на жестком диске папки, содержащие строку "shar" и копирует себя с одним из следующих имен:

# Microsoft Office 2003 Crack, Working!.exe
# Microsoft Windows XP, WinXP Crack, working Keygen.exe
# Microsoft Office XP working Crack, Keygen.exe
# Porno, sex, oral, anal cool, awesome!!.exe
# Porno Screensaver.scr
# Serials.txt.exe
# KAV 5.0
# Kaspersky Antivirus 5.0
# Porno pics arhive, xxx.exe
# Windows Sourcecode update.doc.exe
# Ahead Nero 7.exe
# Windown Longhorn Beta Leak.exe
# Opera 8 New!.exe
# XXX hardcore images.exe
# WinAmp 6 New!.exe
# WinAmp 5 Pro Keygen Crack Update.exe
# Adobe Photoshop 9 full.exe
# Matrix 3 Revolution English Subtitles.exe
# ACDSee 9.exe 

7. Пытается прекратить работу следующих сервисов:

 
# "SharedAccess" - Internet Connection Sharing
# "wscsvc" - MS security center 

8. Оставляет лазейку на 81 TCP порту.

9. Ищет email адреса в файлах с расширениями

# .wab
# .txt
# .msg
# .htm
# .shtm
# .stm
# .xml
# .dbx
# .mbx
# .mdx
# .eml
# .nch
# .mmf
# .ods
# .cfg
# .asp
# .php
# .pl
# .wsh
# .adb
# .tbb
# .sht
# .xls
# .oft
# .uin
# .cgi
# .mht
# .dhtm
# .jsp 

10. Использует собственный SMTP сервер для рассылки email сообщений по адресам, которые найдет.