Go to top

Trang chủ  » Thiết kế website giá rẻ

Cảnh báo virus: W32.Beagle.AG@mm

W32.Beagle.AG@mm là một loại "bom thư" sử dụng động cơ SMTP riêng để lây nhiễm qua e-mail, và mở một thành phần "cổng sau" tại cổng TCP/1080 để kẻ tấn công có thể kết nối trái phép tới máy tính nạn nhân.

Hệ điều hành lây nhiễm: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Ngày phát tác: 19/7/2004

Mô tả:

Khi thực thi, W32.Beagle.AG@m sẽ thực thi các tác vụ sau:

  1. Xoá bất cứ giá trị nào chứa các chuỗi sau:

    9XHtProtect
    Antivirus
    EasyAV
    FirewallSvr
    HtProtect
    ICQ Net
    ICQNet
    Jammer2nd
    KasperskyAVEng
    MsInfo
    My AV
    NetDy
    Norton Antivirus AV
    PandaAVEngine
    service
    SkynetsRevenge
    Special Firewall Service
    SysMonXP
    Tiny AV
    Zone Labs Client Ex

    ... từ các khoá:

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

  2. Tạo ra các file sau:

    %System%winxp.exe
    %System%winxp.exeopen
    %System%winxp.exeopenopen
    %System%winxp.exeopenopenopen
    %System%winxp.exeopenopenopenopen

    Chú ý: %System% là một biến và virus có thể xác định được vị trị của thư mục hệ thống và tự nhân bản vào đó. Theo mặc định, vị trí của thư mục hệ thống sẽ là:  C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), hoặc C:WindowsSystem32 (Windows XP).

  3. Thả file winxp.exeopenopen vào thư mục hệ thống: %System%winxp.exeopenopen (có thể là file zip hoặc cpl).
     

    • Nếu file ở định dạng .zip, nó sẽ chứa hai file có tên ngẫu nhiên. Một file sẽ là file .exe và file còn lại là file text với phần mở rộng: .sys, .dat, .idx, .vxd, .vid, hoặc .dll.

    • Nếu file ở dạng .cpl, khi thực thi sẽ thả một file có tên cjector.exe vào thư mục %Windir%.

      Chú ý: %Windir% là một biến và sâu có thể xác định được thư mục cài đặt Windows và tự nhân bản vào thư mục đó, mặc định là: C:Windows hoặc C:Winnt

  4. Bổ sung giá trị:

    "key" = "%System%winxp.exe"

    ... và khoá registry sau để sau có thể tự động chạy khi hệ thống khởi động:

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  5. Mở cổng sau tại TCP/1080.

  6. Kết nối với các đoạn script .php tại một số các tên miền quy định trước (danh sách được liệt kê ở cuối bài).

  7. Chấm dứt một số process (tiến trình) bảo mật (danh sách được liệt kê ở cuối bài).

  8. Nếu ngày của hệ thống sau: 5/5/2006, sâu sẽ thoát khỏi bộ nhớ và xoá các giá trị và khoá liên quan tới sâu:

    HKEY_CURRENT_USERSOFTWAREase_path

  9. Cố tạo ra các bản copy của sâu tại bất kỳ một thư mục nào có chứa ký tự "shar." Các file virus này như sau:  
     

    • ACDSee 9.exe

    • Adobe Photoshop 9 full.exe

    • Ahead Nero 7.exe

    • Kaspersky Antivirus 5.0

    • KAV 5.0

    • Matrix 3 Revolution English Subtitles.exe

    • Microsoft Office 2003 Crack, Working!.exe

    • Microsoft Office XP working Crack, Keygen.exe

    • Microsoft Windows XP, WinXP Crack, working Keygen.exe

    • Opera 8 New!.exe

    • Porno pics arhive, xxx.exe

    • Porno Screensaver.scr

    • Porno, sex, oral, anal cool, awesome!!.exe

    • Serials.txt.exe

    • WinAmp 5 Pro Keygen Crack Update.exe

    • WinAmp 6 New!.exe

    • Windown Longhorn Beta Leak.exe

    • Windows Sourcecode update.doc.exe

    • XXX hardcore images.exe

  10. Tìm kiếm các địa chỉ e-mail trong các file có các phần mở rộng sau:
     

    • .adb

    • .asp

    • .cfg

    • .cgi

    • .dbx

    • .dhtm

    • .eml

    • .htm

    • .jsp

    • .mbx

    • .mdx

    • .mht

    • .mmf

    • .msg

    • .nch

    • .ods

    • .oft

    • .php

    • .pl

    • .sht

    • .shtm

    • .stm

    • .tbb

    • .txt

    • .uin

    • .wab

    • .wsh

    • .xls

    • .xml

  11. Sử dụng động cơ SMTP riêng để gửi thư tới bất cứ một địa chỉ e-mail nào tìm thấy. Các e-mail nhiễm virus có thể mang các đặc điểm sau:

    From:

    Subject: Re_

    Thông điệp:
     
    ả>

    • foto3 and MP3

    • fotogalary and Music

    • fotoinfo

    • Lovely animals

    • Animals

    • Predators

    • The snake

    • Screen and Music

      Phần đính kèm: (là một trong các tên sau)

    • Cat

    • Cool_MP3

    • Dog

    • Doll

    • Fish

    • Garry

    • MP3

    • Music_MP3

    • New_MP3_Player


      Phần mở rộng của file đính kèm:
       

    • .exe

    • .scr

    • .com

    • .cpl

    • .zip (this will be password protected)



Tên miền

W32.Beagle.AG@mm sẽ cố kết nối tới các tên miền sau:

  • abtacha.wirebrain.de

  • begros.de

  • deepiceman.de

  • dfk-crew.clanintern.de

  • die-cliquee.de

  • edwinf.surfplanet.de

  • knecht.cs.uni-magdeburg.de

  • login.rz.fh-augsburg.de

  • niematec.de

  • obechmann.de

  • pe-data.de

  • people-ftp.freenet.de

  • people-ftp.freenet.de

  • people-ftp.freenet.de

  • ronnyackermann.de

  • sgi1.rz.rwth-aachen.de

  • symbit.de

  • tripod.de

  • web154.essen082.server4free.de

  • web216.berlin240.server4free.de

  • www.aachen.de

  • www.abacho.de

  • www.anwaltverein.de

  • www.aquarius.geomar.de

  • www.astronomie.de

  • www.atlantis-show.de

  • www.atlas-hannover.de

  • www.awi-bremerhaven.de

  • www.baden-wuerttemberg.de

  • www.bayerninfo.de

  • www.beck.de

  • www.berlinonline.de

  • www.bessy.de

  • www.bitburger.de

  • www.blk-bonn.de/

  • www.bmgs.bund.de

  • www.brigitte.de

  • www.bundesliga.de

  • www.calistyler.de

  • www.citypopulation.de

  • www.dar-fantasy.de

  • www.dasding.de

  • www.degruyter.de

  • www.destatis.de



Tiến trình

W32.Beagle.AG@mm sẽ cố chấm dứt các tiến trình sau:

  • AGENTSVR.EXE

  • ANTI-TROJAN.EXE

  • ANTI-TROJAN.EXE

  • ANTIVIRUS.EXE

  • ANTS.EXE

  • APIMONITOR.EXE

  • APLICA32.EXE

  • APVXDWIN.EXE

  • CLEAN.EXE

  • CLEAN.EXE

  • CLEANER.EXE

  • CLEANER.EXE

  • CLEANER3.EXE

  • CLEANPC.EXE

  • CLEANPC.EXE

  • CMGRDIAN.EXE

  • CMGRDIAN.EXE

  • CMON016.EXE

  • CMON016.EXE

  • CPD.EXE

  • DRWATSON.EXE

  • DRWEBUPW.EXE

  • ENT.EXE

  • ESCANH95.EXE

  • ESCANHNT.EXE

  • ESCANV95.EXE

  • MSSMMC32.EXE

  • MU0311AD.EXE

  • NAV80TRY.EXE

  • NAVAPW32.EXE

  • NAVDX.EXE

  • NAVSTUB.EXE

  • NAVW32.EXE

  • NC2000.EXE

  • NCINST4.EXE

  • NDD32.EXE

  • NEOMONITOR.EXE

  • NETARMOR.EXE

  • NETINFO.EXE

  • NETMON.EXE

  • NETSCANPRO.EXE

  • POPROXY.EXE

  • POPSCAN.EXE

  • PORTDETECTIVE.EXE

  • PPINUPDT.EXE

  • PPTBC.EXE

  • PPVSTOP.EXE

  • PROCEXPLORERV1.0.EXE

  • PROPORT.EXE

  • PROTECTX.EXE

  • SUPPORTER5.EXE

  • SYMPROXYSVC.EXE

  • SYSEDIT.EXE

  • TASKMON.EXE

  • TAUMON.EXE

  • TAUSCAN.EXE

  • TC.EXE

  • TCA.EXE

  • TCM.EXE

  • TDS2-98.EXE

  • TDS2-NT.EXE

  • TDS-3.EXE

  • TFAK5.EXE

  • TGBOB.EXE

  • TITANIN.EXE

  • TITANINXP.EXE

  • TRACERT.EXE

  • TRJSCAN.EXE

  • TRJSETUP.EXE

  • TROJANTRAP3.EXE

  • UNDOBOOT.EXE

  • UPDATE.EXE

  • VSWINNTSE.EXE

  • VSWINPERSE.EXE

  • W32DSM89.EXE

  • W9X.EXE

  • WATCHDOG.EXE

  • WEBSCANX.EXE

  • WGFE95.EXE

  • WHOSWATCHINGME.EXE

  • WHOSWATCHINGME.EXE

  • WINRECON.EXE

  • WNT.EXE

  • WRADMIN.EXE

  • WRCTRL.EXE

  • WSBGATE.EXE

  • WYVERNWORKSFIREWALL.EXE

  • XPF202EN.EXE

  • ZAPRO.EXE

  • ZAPSETUP3001.EXE

  • ZATUTOR.EXE

  • ZAUINST.EXE

  • ZONALM2601.EXE

  • ZONEALARM.EXE

Bạn có thể tải công cụ diệt virus W32.Beagle.AG@mm tại đây
 

Các tin tức khác:

Card mạng không dây: Đa dạng và tiện lợi

Yahoo triển khai dịch vụ cảnh báo giao thông

Sun giới thiệu phiên bản Java kế tiếp

Lại thêm nhiều Virus mới được cập nhật của phần mềm diệt virus D32

Di động giá rẻ đang hút khách

Khung ảnh đẹp Frame Show 1.2

Fujitsu trình làng màn hình “giấy điện tử”

Cuộc chiến web-mail miễn phí 1GB bùng nổ

Grokker: mạnh hơn cả Google!

Thị trường ĐTDĐ Việt Nam: hàng trung, cao cấp lên ngôi!

Danh mục

Hãy gọi cho chúng tôi để được tư vấn miễn phí

0989 722 522

TRUNG TÂM PHÁT TRIỂN WEBSITE - ỨNG DỤNG - THIẾT BỊ CHUYÊN NGHIỆP TOPSITE

Địa chỉ: 41/1, Phường Trung Mỹ Tây Quận 12, TP Hồ Chí Minh.
Email: hotro@topsite.vn - info@topsite.vn Tel: 0978.893.678 - 0938 869 787
MSDN/GPĐKKD: 19025687954
MST: 0310368322
Số TK: 0501000001371 tại Ngân Hàng Vietcombank Chi nhánh Vĩnh Lộc
© 2004 - 2014 Copyright. All rights reserved. Bản quyền thuộc về công ty thiet ke web ITECHCO CO.,LTD

Chúng tôi chấp nhận thanh toán qua:

liberty reservengan luongonepaysoha payvisaweb money1web money2paypalpayone