Email-Worm.Win32.Bagle.fb

[Ŧ1LAN]

Назвавние:Email-Worm.Win32.Bagle.fb
семейство:Bagle
размер файла: Х3
Инсталяция:ХЗ
Распространение: По e-mail
Действие на систему:
значит во-первых не удаляется сам файл.. .jpg..., при загрузке винды загружается процесс с таким же названием, только ехе, комп при подключении к сети пытается скачать какой-то файл. Блокируется всемогущее "ctrl_alt_del". комп не выходит в безопасном режиме.
как избавиться от вируса: можно воспользоваться программой стартер(брать в аттаче), ей мы убивали левые процессы.

Источник: AskieR(113166666) и h@rdrock(318954803)

P.S. обнаружен был червь антивирем который находится на главной странице сайта xss.pro/

 

[Ŧ1LAN]

Обновление:
название:Email-Worm.Win32.Bagle.fb
семейство:Bagle
размер файла:PE EXE-файл размером 9649 байт
инсталяция:
После запуска червь открывает в установленной по умолчанию программе просмотра изображений следующий файл:
%System%\ntimage.gif
При инсталляции червь копирует себя в системный каталог Windows с именем anti_troj.exe:

%System%\anti_troj.exe
После чего регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  
 "anti_troj"="%System%\anti_troj.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующую запись в системном реестре:

[HKCU\Software\FirstRRRun]
 "FirstRRRun"="1"

Также червь создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.

Распространение: спам-рассылка
действие на систему:В самом файле червя содержится большой список URL, которые проверяются на наличие файлов:

http://202.44.52.38
http://209.126.128.203
http://65.108.195.73
http://80.146.233.41
http://abtechsafety.com
http://abtechsafety.com
http://acentrum.pl
http://adavenue.net
http://adoptionscanada.ca
http://adventecgroup.com
http://agenciaspublicidadinternet.com
http://ahava.cafe24.com
http://aibsnlea.org
http://aikidan.com
http://ala-bg.net
http://alevibirligi.ch
http://alfaclassic.sk
http://allanconi.it
http://allinfo.com.au
http://americasenergyco.com
http://amerykaameryka.com
http://amistra.com
http://analisisyconsultoria.com
http://calamarco.com
http://ccooaytomadrid.org
http://drinkwater.ru
http://eleceltek.com
http://furdoszoba.info
http://kepter.kz
http://mijusungdo.net
http://sacafterdark.net
http://tkdami.net
http://virt33.kei.pl
http://www.150m.com
http://www.adamant-np.ru
http://www.agroturystyka.artneo.pl
http://www.americarising.com
http://www.bakelit.hu
http://www.barth.serwery.pl
http://www.batlground.com
http://www.bbrealservis.sk
http://www.befag.ru
http://www.benininfo.com
http://www.bennylife.com
http://www.bestcheapdomainregistration.info
http://www.bidsforbaby.com
http://www.binhaigolf.com
http://www.biotenk.com
http://www.bitsolution.ro
http://www.bmswijndepot.com
http://www.boldrussell.com
http://www.bronko-m.ru
http://www.bulkemaildirectmarketing.com
http://www.bulkemailservicenow.com
http://www.calidad.biz
http://www.cansew.ca
http://www.cansultdubai.ae
http://www.casaquecanta.com
http://www.casino-malibu.ru
http://www.chilotitomarino.cl
http://www.chinaculturedpearl.com
http://www.colin18.com
http://www.connectesl.com
http://www.encansbelec.com
http://www.khonkaenpoc.com
http://www.leap.co.il
http://www.nmtltd.com
http://www.nuclear.com.pl
http://www.timecontrol.com.pl
http://www.ubu.pl
http://www.vnettools.com
В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.

как избавиться от вируса:
1)Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
2)Удалите из системного каталога Windows следующий файл:
%System%\anti_troj.exe
3)Удалите из системного реестра следующие записи:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "anti_troj"="%System%\anti_troj.exe" 

[HKCU\Software\FirstRRRun]

4)Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.