10 августа 2004 г.
В Интернете появилась очередная модификация червя Bagle, угрожающая новой эпидемией.
Червь Bagle.AM (по другим версиям, Bagle.AQ и Bagle.AC) распространяется в виде вложенного в электронные письма ZIP-архива объемом 6 КБ, сообщают эксперты Panda Software.
Архив содержит два файла HTML и скрытый EXE. При запуске первого автоматически запускается и исполняемый файл, который первым делом создает свои копии в системных папках и вносит следующие ключи в системный реестр:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe =
%systemdir%WINdirect.exe
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe =
%systemdir%WINdirect.exe
Bagle.AM также формирует DLL-библиотеку объемом 11,776 Б, которая закрывает следующие активные процессы:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
SYS_XP.EXE
SYSXP.EXE
UPDATE.EXE
WINXP.EXE
Кроме того, вирус пытается загрузить сразу с нескольких вэб-сайтов фиктивный файл JPG. На самом деле это еще один EXE-файл, отвечающий за репродукцию Bagle. После запуска файл начинает процедуру рассылки копий червя по всем найденный на ПК адресам.
Чтобы защитить свои компьютеры от Bagle.AM, следует обновить базы антивирусных программ. А для очистки пораженного ПК можно воспользоваться бесплатной утилитой Panda ActiveScan, доступной по этой ссылке.
|
