WEB форумы на jedi
[Форум] [Помощь] [Поиск] [Выйти]
Добро пожаловать, [info]User

WEB форумы на jedi [ПОИСК] [Архив до 03.2006]

Тема Новый друг...любопытных К предыдущему сообщению На следующее сообщение Обсуждение и поиск СОФТа

Отправил Shao в 23:15 29.10.2004[Ответить]
http://www.viruslist.com/viruslist.html?id=146123472

I-Worm.Bagle.at


Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Содержит в себе функцию прокси-сервера.

Червь представляет собой PE EXE-файл, размером около 20КБ. Файл упакован PeX, размер распакованного файла - около 30КБ.

Инсталляция
После запуска червь копирует себя в системный каталог Windows с разными именами. Например:

C:WINDOWSSYSTEM32wingo.exe
C:WINDOWSSYSTEM32wingo.exeopen
C:WINDOWSSYSTEM32wingo.exeopenopen
Затем червь регистрирует данный файл в ключе автозапуска системного реестра:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
wingo=%system%wingo.exe
Распространение через email
Червь ищет на диске файлы с расширениями из нижеприведенного списка и рассылает себя по всем найденным в них адресам электронной почты:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml


Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip


Характеристики зараженных писем
Адрес отправителя:
Произвольный.

Тема письма:
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
Имя вложения:
Joke
Price
Возможные расширения:

com
cpl
exe
scr
Распространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово Share с именами выбираемыми из списка:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Удаленное администрирование
Червь открывает и затем отслеживает TCP порт 81 для приема удаленных команд.

Прочее
Червь пытается соединиться с различными сайтами, указанными в его коде, для загрузки с них на зараженный компьютер каких-либо файлов.

Кроме того, червь пытается выгрузить из памяти компьютера следующие межсетевые экраны и антивирусные программы:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe


Удаление I-Worm.Bagle.at
Перезагрузите компьютер в безопасном режиме (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).

Удалите из системного каталога Windows следующие файлы:

wingo.exe
wingo.exeopen
wingo.exeopenopen
Удалите из системного реестра следующую запись:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
wingo=%system%wingo.exe
Перезагрузите компьютер и убедитесь, что вы удалили все зараженные письма из всех почтовых папок


Отправил CAHbKA в 23:22 29.10.2004[Ответить]
так а сегодня к обеду все обновились вроде бы как?
последние джоки были около 10 часов

а бигль этот разве не как beagle пишется?


Отправил Nika в 21:30 02.11.2004[Ответить]
конечно все давно обновились, особенно провайдеры ;)

Received: from ns1.kmtn.ru (ns1.kmtn.ru [213.24.37.65])
by * with ESMTP id iA2DlDwO035527
for <*>; Tue, 2 Nov 2004 16:47:20 +0300 (MSK)
(envelope-from *)
Received: from localhost (p*.kmtn.ru [213.24.38.*])
by ns1.kmtn.ru (8.11.1/8.9.3) with ESMTP id iA2Df6220507
for <*>; Tue, 2 Nov 2004 16:41:07 +0300 (MSK)
(envelope-from *)
X-AntiVirus: Checked by Dr.Web [version: 4.32, engine: 4.32, virus records: 52889, updated: 22.08.2004]
Date: Tue, 2 Nov 2004 16:39:42 +0300

* - цензура (прим. ред.)


Отправил CAHbKA в 21:36 02.11.2004[Ответить]
бтв, 4.32Б сегодня раздают


Отправил Me4tatel в 00:20 30.10.2004[Ответить]
Простите за высшую степень ламерюжничества....
Но, скажите:
1 А где в винде ети файлы
2 Как именно найти ету запись ?;)))
Только не ругайтесь, плз, не силен я в системном реестре!


Отправил Van ASS в 23:19 07.11.2004[Ответить]
1. В папке windowssystem32 (или winnt :)
2. a) Пуск -> Выполнить -> regedit
b) Ctrl+F
c) Копируешь в строку поиска искомую строку



Отправил 3aбaнeнный в 17:19 08.11.2004[Ответить]
Большой спасиб;) Но оказалась другая бага;)