Win32/Bagle.gen.zip worm

Ответ на математический пример, который Вы ввели - неверный.

Известные модификации: Bagle.BI, Email-Worm.Win32.Bagle.bq, Email-Worm.Win32.Bagle.BQ, Troj/BagleDl-R, TROJ_BAGLE.BB, W32/_newstuff.2, W32/Bagle.BI, W32/Bagle.BQ-mm, W32/Bagle.gen, Win32.Bagle.BQ@mm, Win32/Bagle.BI, Worm.Bagle.3, Worm.Bagle.BB-gen, Worm.Beagle.AV, Worm/Bagle.Gen

Размер: 36,864 Byte

Активность:

При инсталляции червь копирует себя с именем:

%system%\WINSHOST.EXE

Регистрирует себя в реестре:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "C:\Windows\System32\WINSHOST.EXE"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "C:\Windows\System32\WINSHOST.EXE"

HKEY_CURRENT_USER\Software\FirstRun
FirstRunRR = "dword:00000001"

HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000004"

Отключает межсетевые экраны:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004"

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000004"

Файлы червя:

a5v.dll
AUPD1ATE.EXE
AUPDATE.EXE
AUPDATE.EXE
av.dll
av.dll
Av1synmgr.exe
Avc1onsol.exe
Avconsol.exe
Avconsol.exe
avg23emc.exe
avgc3c.exe
avgcc.exe
avgcc.exe
avgemc.exe
avgemc.exe
Avsynmgr.exe
Avsynmgr.exe
C1CSETMGR.EXE
c6a5fix.exe
cafix.exe
cafix.exe
CC1EVTMGR.EXE
cc1l30.dll
ccA1pp.exe
ccApp.exe
ccApp.exe
CCEVTMGR.EXE
CCEVTMGR.EXE
ccl30.dll
ccl30.dll
CCSETMGR.EXE
CCSETMGR.EXE
ccv1rtrst.dll
ccvrtrst.dll
ccvrtrst.dll
CM1Grdian.exe
CMGrdian.exe
CMGrdian.exe
is5a6fe.exe
isafe.exe
isafe.exe
K2A2V.exe
KAV.exe
KAV.exe
kav12mm.exe
kavmm.exe
kavmm.exe
LUAL1L.EXE
LUALL.EXE
LUALL.EXE
LUI1NSDLL.DLL
LUINSDLL.DLL
LUINSDLL.DLL
Luup1date.exe
Luupdate.exe
Luupdate.exe
Mcsh1ield.exe
Mcshield.exe
Mcshield.exe
mysuperprog.exe
NAV1APSVC.EXE
NAVAPSVC.EXE
NAVAPSVC.EXE
NPFM1NTOR.EXE
NPFMNTOR.EXE
NPFMNTOR.EXE
outp1ost.exe
outpost.exe
outpost.exe
RuLa1unch.exe
RuLaunch.exe
RuLaunch.exe
s1ymlcsvc.exe
SND1Srvc.exe
SNDSrvc.exe
SNDSrvc.exe
SP1BBCSvc.exe
SPBBCSvc.exe
SPBBCSvc.exe
symlcsvc.exe
symlcsvc.exe
Up222Date.exe
Up2Date.exe
Up2Date.exe
ve6tre5dir.dll
vetredir.dll
vetredir.dll
Vs1Stat.exe
vs6va5ult.dll
Vshw1in32.exe
Vshwin32.exe
Vshwin32.exe
VsStat.exe
VsStat.exe
vsvault.dll
vsvault.dll
zatu6tor.exe
zatutor.exe
zatutor.exe
zatutor.exe
zl5avscan.dll
zlavscan.dll
zlavscan.dll
zlavscan.dll
zlcli6ent.exe
zlclient.exe
zlclient.exe
zo3nealarm.exe
zonealarm.exe
zonealarm.exe
zonealarm.exe

Открывает следующие ссылки:

http:://www.21e????build.com/osa3.gif
http:://www.5????1.net/osa3.gif
http:://www.acs????ohio.com/osa3.gif
http:://www.ag????ria.hu/osa3.gif
http:://www.an????di.com.vn/osa3.gif
http:://www.ang????ham.de/osa3.gif
http:://www.ascol????fibras.com/osa3.gif
http:://www.autom????obilonline.de/osa3.gif
http:://www.ban????gyan.cn/osa3.gif
http:://www.bea????ll-cpa.com/osa3.gif
http:://www.bo????lz.at/osa3.gif
http:://www.bs-sec????urity.de/osa3.gif
http:://www.centr????ovestecasa.it/osa3.gif
http:://www.check????onemedia.nl/osa3.gif
http:://www.conte????ntproject.com/osa3.gif
http:://www.cz-wa????njia.com/osa3.gif
http:://www.czwan????qing.com/osa3.gif
http:://www.cz????zm.com/osa3.gif
http:://www.dat????anet.huwww.datanet.hu/osa3.gif
http:://www.desig????ngong.org/osa3.gif
http:://www.dg????y.com.cn/osa3.gif
http:://www.die-fli????esen.de/osa3.gif
http:://www.discote????ka-funfactory.com/osa3.gif
http:://www.dom-inv????est.com.pl/osa3.gif
http:://www.eag????le.com.cn/osa3.gif
http:://www.eagle????club.com.cn/osa3.gif
http:://www.eh????c.hu/osa3.gif
http:://www.elvis-pr????esley.ch/osa3.gif
http:://www.engel????hardtgmbh.de/osa3.gif
http:://www.exte????rnet.hu/osa3.gif
http:://www.fahrs????chule-herb.de/osa3.gif
http:://www.fahrs????chule-lesser.de/osa3.gif
http:://www.ferme????garoy.com/osa3.gif
http:://www.festivalteat????rooccidente.com/osa3.gif
http:://www.form????holz.at/osa3.gif
http:://www.foto????max.fi/osa3.gif
http:://www.gemt????rox.com.tw/osa3.gif
http:://www.gepe????ters.org/osa3.gif
http:://www.gimex????-messzeuge.de/osa3.gif
http:://www.gomy????home.com.tw/osa3.gif
http:://www.gym????zn.cz/osa3.gif
http:://www.honde????nservice.be/osa3.gif
http:://www.id????af.de/osa3.gif
http:://www.id????cs.be/osa3.gif
http:://www.id????er.cl/osa3.gif
http:://www.insid????e-tgweb.de/osa3.gif
http:://www.iz????oli.sk/osa3.gif
http:://www.jcm-ame????rican.com/osa3.gif
http:://www.jeou????shinn.com/osa3.gif
http:://www.jing????juok.com/osa3.gif
http:://www.jue-????bo.com/osa3.gif
http:://www.king????sley.ch/osa3.gif
http:://www.mark????etvw.com/osa3.gif
http:://www.mega????serve.net/osa3.gif
http:://www.mi????ld.at/osa3.gif
http:://www.niko????gmbh.com/osa3.gif
http:://www.ni????ko.de/osa3.gif
http:://www.ol????va.com.pe/osa3.gif
http:://www.on????24.ee/osa3.gif
http:://www.on????link.net/osa3.gif
http:://www.ppm-al????liance.de/osa3.gif
http:://www.pres????ley.ch/osa3.gif
http:://www.rene????gaderc.com/osa3.gif
http:://www.repl????ayu.com/osa3.gif
http:://www.sach????senbuecher.de/osa3.gif
http:://www.sanji????nyuan.com/osa3.gif
http:://www.scva????nravenswaaij.nl/osa3.gif
http:://www.slo????vanet.sk/osa3.gif
http:://www.sns????photo.com/osa3.gif
http:://www.soc????ietaet.de/osa3.gif
http:://www.soe????co.org/osa3.gif
http:://www.sof????tmajor.ru/osa3.gif
http:://www.sol????t3.org/osa3.gif
http:://www.spac????ium.biz/osa3.gif
http:://www.spee????dcom.home.pl/osa3.gif
http:://www.spir????it-in-steel.at/osa3.gif
http:://www.spo????den.de/osa3.gif
http:://www.spo????rtnf.com/osa3.gif
http:://www.sp????y.az/osa3.gif
http:://www.sqnsol????utions.com/osa3.gif
http:://www.st-pau????lus-bonn.dehtdocs/osa3.gif
http:://www.st????bs.com.hk/osa3.gif
http:://www.steri????pharm.com/osa3.gif
http:://www.stude????nts.stir.ac.uk/osa3.gif
http:://www.subsp????lanet.com/osa3.gif
http:://www.sungo????dbio.com/osa3.gif
http:://www.super????betcs.com/osa3.gif
http:://www.sw????eb.cz/osa3.gif
http:://www.sydo????lo.com/osa3.gif
http:://www.szdi????heng.com/osa3.gif
http:://www.tcic????ampus.net/osa3.gif
http:://www.tech????ni.com.cn/osa3.gif
http:://www.tg-sand????hausen-basketball.de/osa3.gif
http:://www.th-m????utan.com/osa3.gif
http:://www.thai????fast.com/osa3.gif
http:://www.thaiv????enture.com/osa3.gif
http:://www.thef????unkiest.com/osa3.gif
http:://www.thenex????tstep.tv/osa3.gif
http:://www.thetexa????soutfitter.com/osa3.gif
http:://www.tmhcsd1????987.friko.pl/osa3.gif
http:://www.tous????sain.be/osa3.gif
http:://www.tra????go.com.pt/osa3.gif
http:://www.trave????lourway.com/osa3.gif
http:://www.trgd.do????brcz.pl/osa3.gif
http:://www.triap????ex.cz/osa3.gif
http:://www.trip????tonic.ch/osa3.gif
http:://www.tv-ma????rina.com/osa3.gif
http:://www.udc-cassi????nadepecchi.it/osa3.gif
http:://www.univ????erse.sk/osa3.gif
http:://www.uspow????erchair.com/osa3.gif
http:://www.u????w.hu/osa3.gif
http:://www.vercru????yssenelektro.be/osa3.gif
http:://www.vet????24h.com/osa3.gif
http:://www.vini????meloni.com/osa3.gif
http:://www.vn????n.vn/osa3.gif
http:://www.vnrv????jiet.ac.in/osa3.gif
http:://www.vote????2fateh.com/osa3.gif
http:://www.vw.pre????ss-bank.pl/osa3.gif
http:://www.wam????ba.asn.au/osa3.gif
http:://www.wd????p.co.za/osa3.gif
http:://www.welc????corp.com/osa3.gif
http:://www.wesar????tproductions.com/osa3.gif
http:://www.wilsons????country.com/osa3.gif
http:://www.win????dstar.pl/osa3.gif
http:://www.wise-indu????stries.com/osa3.gif
http:://www.wit????old.pl/osa3.gif
http:://www.wom????bband.com/osa3.gif
http:://www.x-t????reme.cz/osa3.gif
http:://www.xia????ntong.net/osa3.gif
http:://www.xmp????ie.com/osa3.gif
http:://www.xmt????d.com/osa3.gif
http:://www.xoj????c.com/osa3.gif
http:://www.yannic????k-spruyt.be/osa3.gif
http:://www.yayado????wnload.com/osa3.gif
http:://www.yester????days.co.za/osa3.gif
http:://www.ysh????kj.com/osa3.gif
http:://www.zak????azcd.dp.ua/osa3.gif
http:://www.zen????esoftware.com/osa3.gif
http:://www.zen????tek.co.za/osa3.gif
http:://www.zor????bas.az/osa3.gif
http:://www.zsb????ersala.edu.sk/osa3.gif

Утилита для удаление червя (ESET)

Инструкции по удалению в SAFE MODE:
Пуск -> Выполнить: REGEDIT.
Правка -> поиск "winshost.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\FirstRun
Удалить параметр Start:

HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000003"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000002"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000002"
Открыть файл HOSTS:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
Удалить все кроме:

127.0.0.1 localhost
Сохранить.
Перезагрузиться в нормальном режиме, поставить антивирус, проверить компьютер.

Источник информации stopvirus.ru

Новые вирусы

Отправить новый комментарий

Вопрос: Сколько будет 2 + 10?: *

Пожалуйста решите математический пример выше и заполните результат. (напр для 1+1, введите 2)

Ваше имя: *

Адрес e-mail: *

Содержимое этого поля хранится скрыто и не будет показываться публично.

Домашняя страница:

Тема:

Комментарий: *

Формат ввода

Filtered HTML

Допустимые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
Строки и параграфы переносятся автоматически.

Full HTML

Строки и параграфы переносятся автоматически.

Больше информации о возможностях форматирования

Бесплатные антивирусы

Новости

По типу лицензии

Энциклопедия вирусов

Купить на AllSoft

Программы защиты

По языку интерфейса

Вход

Информация

Поиск

Навигация

На сайте

RSS

Win32/Bagle.gen.zip worm

Отправить новый комментарий