|
Пресс-релизы
|
|
21 января 2004 г
Украинский Антивирусный Центр сообщает о начале новой эпидемии червя I-Worm.Bagle
Эпидемия, которая началась ещё вчера во всём мире, сегодня докатилась и до Украины. Уже зафиксировано несколько сот случаев заражения почтовым червем I-Worm.Bagle.
Антивирусной лабораторией "Украинского Антивирусного Центра" выпущены и доступны для пользоватлей модули детектирования и обезвреживания данного червя.
После запуска червь I-Worm.Bagle проверяет текущую дату: если дата стоит 28 января 2004 года или позже, то червь завершает свою работу. Червь создаёт свою копию в папке WindowsSystem (для систем WinNT/2000/XP - System32) с именем BBEAGLE.EXE и создаёт ключи в реестре, приводящие к запуску червя при каждой загрузке операционной системы:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
d3dupdate.exe = %System%beagle.exe
HKEY_USERS%SystemInfo%SoftwareMicrosoftWindowsCurrentVersionRun
d3dupdate.exe = %System%beagle.exe
Червь I-Worm.Bagle использует для рассылки собственный SMTP сервер. Адреса электронной почты выбираются из файлов с расширениями WAB, TXT, HTM, HTML. При этом на адреса, содержащие подстроки .r1, "@hotmail.com", "@msn.com", "@microsoft" и "@avp" письма с вирусом не отправляются.
Пример текста письма, содержащего вирус:
Subject: Hi
Body:
Test =)
uqmgrwdmyecrkrhjygnr
--
Test, yep.
Atach: smcblfk.exe
Механизм маскировки
Если имя файла, из которого запущен червь не BBEAGLE.EXE, то червь запускает файл CALC.EXE (Стандартный калькулятор Windows), а сам продолжает функционировать в фоновом режиме. Иконкой червя является иконка калькулятора, поэтому при просмотре задач пользователь видит несколько запущенных калькуляторов. Когда работа стандартного калькулятора завершается червь по-прежнему продолжает функционировать.
Backdoor-функции
На поражённом компьютере червь открывает порт 6777 и ожидает удалённых команд. Если злоумышленник подключится на заданный порт, то он может полностью контролировать систему.
Дополнительные возможности
Червь пытается обращаться по заданным веб-адресам для получения обновлений (запуска новых модификаций червя).
версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также
|
|
17 октября 2013 г
• В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
• Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays
16 октября 2013 г
• Украинские предприниматели выходят на международный рынок с помощью Windows Azure
• Бионические разработки Festo – инвестиции в будущее
15 октября 2013 г
• Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры
11 октября 2013 г
• Відбувся 4-й Український форум з управління Інтернетом IGF-UA
• В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
• Графические процессоры ускоряют пошив плаща-невидимки
• Mail.Ru Group оштрафовали за отказ нарушить тайну переписки
• Количество Android-смартфонов в сети «Киевстар» превысило 2 млн
|