FOR CUSTOMERS

Close

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum

Your tickets

New ticket

Call us

+7 (495) 789-45-86

Profile

EN

RU CN DE EN ES FR IT JP KZ UZ PL BY
Close
Support services
Scanners
Dr.Web vxCube
Trial
VCI investigations
Virus library
Knowledge base

Technologies

Terminology

Training and education

Myths

News

Win32.HLLM.Beagle.37696

(Trojan-Downloader.Win32.Bagle.th, TrojanDownloader:Win32/Bagle.SO, Parser error, TrojanDownloader:Win32/Bagle.SQ, TROJ_BAGLE.OB, TrojanDownloader:Win32/Bagle.gen!A, TrojanDownloader:Win32/Bagle.SP, Downloader.gen.a, Trojan-Downloader.Win32.Bagle.tf, TROJ_Gen.4Z0960, Trojan.Downloader.Bagle.IW, WORM/Bagle.Gen, Trojan-Downloader.Win32.Bagle.ta, Embedded.Trojan-Downloader.Win32.Bagle.mm, TROJ_BAGLE.LP)

Added to the Dr.Web virus database: 2008-07-07

Virus description added:

Тип вируса: Почтовый червь

Уязвимые ОС: Win NT-based

Размер: 629 224 байта

Упакован: THEMIDA

Техническая информация

  • При запуске создаёт следующие файлы:

    %systemroot%\system32\drivers\hldrrr.exe
    %systemroot%\system32\drivers\mdelk.exe
    %systemroot%\system32\drivers\srosa.sys

    • Драйвер обеспечивает сокрытие программных модулей червя, а также затрудняет лечение поражённого компьютера.

  • Обеспечивает свой запуск при каждом старте Windows, регистрируя в секции автозапуска системного реестра:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  • Запрещает загрузку в SafeMode: удаляет ветвь реестра:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

  • Завершает процессы и удаляет файлы различных антивирусов, межсетевых экранов и других средств защиты:

    a2cmd.exe
    a2guard.exe
    a2HiJackFree.exe
    a2scan.exe
    a2service.exe
    a2start.exe
    a2upd.exe
    a2wizard.exe
    aavshield.exe
    About.exe
    AckWin32.exe
    ADVCHK.EXE
    Agb5.exe
    Agb5_.exe
    AhnSD.exe
    airdefense.exe
    ALERTSVC.EXE
    ALMon.exe
    ALOGSERV.EXE
    ALsvc.exe
    ALUNOTIFY.EXE
    amon.exe
    Anti-Trojan.exe
    AntiVirScheduler
    AntiVirService
    AntiVirus.exe
    ANTS.EXE
    APVXDWIN.EXE
    Armor2net.exe
    ash.exe
    ashAvast.exe
    ashAvSrv.exe
    ashchest.exe
    ashDisp.exe
    ashDug.exe
    ashEnhcd.exe
    ashLogV.exe
    ashMaiSv.exe
    ashPopWz.exe
    ashQuick.exe
    ashServ.exe
    ashsimp2.exe
    ashSimpl.exe
    ashSkPcc.exe
    ashSkPck.exe
    ashUpd.exe
    ashWebSv.exe
    ash_UpdateMediator.exe
    aswRegSvr.exe
    aswUpdSv.exe
    ATCON.EXE
    ATUPDATER.EXE
    ATWATCH.EXE
    AUPDATE.EXE
    AUTODOWN.EXE
    AutostartExplorer.exe
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    avadmin.exe
    avcenter.exe
    avciman.exe
    avcmd.exe
    avconfig.exe
    Avconsol.exe
    AVENGINE.EXE
    avgamsvr.exe
    avgcc.exe
    AVGCC32.EXE
    AVGCTRL.EXE
    avgdiag.exe
    avgemc.exe
    avgfwsrv.exe
    avginet.exe
    avgnpdln.exe
    avgnpsvc.exe
    AVGNT.EXE
    avgntdd
    avgntmgr
    avgrssvc.exe
    avgscan.exe
    AVGSERV.EXE
    AVGUARD.EXE
    avgupden.exe
    avgupsvc.exe
    avgvv.exe
    avgw.exe
    avgwizfw.exe
    avinitnt.exe
    AvkServ.exe
    AVKService.exe
    AVKWCtl.exe
    avnotify.exe
    AVP.EXE
    AVP32.EXE
    avpcc.exe
    avpm.exe
    AVPUPD.EXE
    avscan.exe
    AVSCHED32.EXE
    avsynmgr.exe
    AVWUPD32.EXE
    AVWUPSRV.EXE
    AVXMONITOR9X.EXE
    AVXMONITORNT.EXE
    AVXQUAR.EXE
    BackWeb-4476822.exe
    bdagent.exe
    bdmcon.exe
    bdnews.exe
    bdoesrv.exe
    bdss.exe
    bdsubmit.exe
    bdsubmitwiz.exe
    BDSurvey.exe
    bdswitch.exe
    bdwizreg.exe
    blackd.exe
    blackice.exe
    blindman.exe
    BTIni.exe
    BTIniNT.exe
    cafix.exe
    CavApp.exe
    CaVasm.exe
    CavAUD.exe
    CavEmSrv.exe
    Cavmr.exe
    CavMUD.exe
    Cavoar.exe
    CavQ.exe
    CAVSCons.exe
    cavse.exe
    CavSn.exe
    CavSub.exe
    CAVSubmit.exe
    CavUMAS.exe
    CavUserUpd.exe
    Cavvl.exe
    ccApp.exe
    ccEvtMgr.exe
    ccProxy.exe
    ccSetMgr.exe
    CEmRep.exe
    CFIAUDIT.EXE
    clamscan.exe
    ClamTray.exe
    ClamWin.exe
    Claw95.exe
    Claw95cf.exe
    cleaner.exe
    cleaner3.exe
    CliSvc.exe
    CMain.exe
    CMGrdian.exe
    copyx64.exe
    cpd.exe
    cssexc.exe
    custinstall.exe
    custsetup.exe
    defensewall.exe
    DefWatch.exe
    dislite.exe
    DOORS.EXE
    dpatrolq.exe
    drvctl.exe
    DrVirus.exe
    DrvMap.exe
    drwadins.exe
    drweb32w.exe
    drweb386.exe
    drwebscd.exe
    DRWEBUPW.EXE
    drwebwcl.exe
    drwreg.exe
    ecmd.exe
    egni.exe
    ekrn.exe
    EMM386.EXE
    ESCANH95.EXE
    ESCANHNT.EXE
    ewidoctrl.exe
    exit_av.exe
    EzAntivirusRegistrationCheck.exe
    F-AGNT95.EXE
    F-PROT95.EXE
    F-Sched.exe
    F-StopW.EXE
    FAMEH32.exe
    FAST.EXE
    FCH32.exe
    firebird.exe
    FireSvc.exe
    FireTray.exe
    FIREWALL.EXE
    FLOPPY.EXE
    FLOPPY9x.EXE
    FLOPPYME.EXE
    FPAVServer.exe
    fpavupdm.exe
    FProtTray.exe
    fpscan.exe
    fptrayproc.exe
    FPWin.exe
    freshclam.exe
    FRW.EXE
    fsample.exe
    fsaua.exe
    fsauach.exe
    fsav.exe
    fsav32.exe
    fsavaui.exe
    fsavgui.exe
    fsavstrt.exe
    fsavwsch.exe
    fsavwscr.exe
    fsbwsys.exe
    fsdbuh.exe
    fsdc.exe
    fsdfwd.exe
    FSDIAG.exe
    FsDiagUi.exe
    fsfwwsch.exe
    fsfwwscr.exe
    fsgetwab.exe
    fsgk32.exe
    fsgk32st.exe
    fsguidll.exe
    fsguiexe.exe
    FSHDLL32.exe
    fshelp.exe
    FSHOTFIX.exe
    fsihcomp.exe
    fsihs.exe
    FSIMAGE.EXE
    FSLAUNCH.exe
    FSM32.exe
    FSMA32.exe
    FSMB32.exe
    fspc.exe
    fspex.exe
    fsqh.exe
    fssf.exe
    fssg.exe
    fssm32.exe
    fsstm.exe
    fssw.exe
    fstlui.exe
    fsuninst.exe
    fsus.exe
    gcasDtServ.exe
    gcasServ.exe
    GIANTAntiSpywareMain.exe
    GIANTAntiSpywareUpdater.exe
    GUARD.EXE
    guardgni.exe
    GUARDGUI.EXE
    GuardNT.exe
    helper.exe
    hipsdiag.exe
    HRegMon.exe
    Hrres.exe
    HSockPE.exe
    HUpdate.EXE
    iamapp.exe
    iamserv.exe
    ICLOAD95.EXE
    ICLOADNT.EXE
    ICMON.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    ICSUPPNT.EXE
    IERegFix.exe
    IFACE.EXE
    ih8.exe
    ih8run.exe
    ILAUNCHR.exe
    INETUPD.EXE
    InocIT.exe
    InoRpc.exe
    InoRT.exe
    InoTask.exe
    InoUpTNG.exe
    InstallCAVS.exe
    InstallLicense.exe
    InstallLSP.exe
    InstLsp.exe
    INWISE.EXE
    IOMON98.EXE
    isafe.exe
    ISATRAY.EXE
    ISPNews.exe
    isPwdsvc.exe
    ISRV95.EXE
    ISSVC.exe
    isUAC.exe
    JEDI.EXE
    KAV.exe
    kavmm.exe
    KAVPF.exe
    KavPFW.exe
    KAVStart.exe
    KAVSvc.exe
    KAVSvcUI.EXE
    KMailMon.EXE
    KPfwSvc.EXE
    KWatch.EXE
    licmgr.exe
    livesrv.exe
    LiveUpdate.exe
    LOCKDOWN2000.EXE
    LogWatNT.exe
    lpfw.exe
    LUALL.EXE
    LUCallbackProxy.exe
    LUCheck.exe
    LUCOMSERVER.EXE
    LuComServer_3_2.EXE
    LuConfig.exe
    LUInit.exe
    Luupdate.exe
    MalwareRemoval.exe
    MCAGENT.EXE
    mcmnhdlr.exe
    mcregwiz.exe
    Mcshield.exe
    MCUPDATE.EXE
    mcvsshld.exe
    MemString.exe
    MINILOG.EXE
    MONITOR.EXE
    monlite.exe
    MonSysNT.exe
    MOOLIVE.EXE
    MpEng.exe
    mpssvc.exe
    MSMPSVC.exe
    msascui.exe
    mva.exe
    MVC.exe
    myAgtSvc.exe
    myagttry.exe
    navapsvc.exe
    NAVAPW32.EXE
    NavLu32.exe
    NAVStub.exe
    NAVW32.EXE
    Navwnt.exe
    NDD32.EXE
    NeoWatchLog.exe
    NeoWatchTray.exe
    NetstatViewer.exe
    nisoptui.exe
    NISSERV
    NISUM.EXE
    NMAIN.EXE
    nod32.exe
    nod32krn.exe
    nod32kui.exe
    NORMIST.EXE
    NotifyHA.exe
    notstart.exe
    npavtray.exe
    NPFMNTOR.EXE
    npfmsg.exe
    NPROTECT.EXE
    NSCHED32.EXE
    NSMdtr.exe
    NssServ.exe
    NssTray.exe
    ntrtscan.exe
    NTXconfig.exe
    NUPGRADE.EXE
    NVC95.EXE
    Nvcod.exe
    Nvcte.exe
    Nvcut.exe
    NWCDEX.EXE
    NWService.exe
    oasrv.exe
    oaui.exe
    OfcPfwSvc.exe
    olAddin.exe
    OnAccessInstaller.exe
    osCheck.exe
    OUTPOST.EXE
    PartIn.exe
    PartIn9x.exe
    partinfo.exe
    PartInNT.exe
    PAV.EXE
    PavFires.exe
    PavFnSvr.exe
    Pavkre.exe
    PavProt.exe
    pavProxy.exe
    pavprsrv.exe
    pavsrv51.exe
    PAVSS.EXE
    pccguide.exe
    PCCIOMON.EXE
    pccntmon.exe
    PCCPFW.exe
    PcCtlCom.exe
    PCTAV.exe
    PERSFW.EXE
    pertsk.exe
    PERVAC.EXE
    PM8Flash.exe
    PMagic.exe
    PMagic9x.exe
    PMagicBT.exe
    PMagicNT.exe
    PNMSRV.EXE
    POLUTIL.exe
    POP3TRAP.EXE
    POPROXY.EXE
    postinstall.exe
    ppfw.exe
    PQBOOT.EXE
    Pqboot32.exe
    PQBOOTX.EXE
    pqbw.exe
    PQLAUNCH.EXE
    PQMAGIC.EXE
    PqPe.exe
    pqpe9x.exe
    pqpent.exe
    preconfig.exe
    preupd.exe
    prevsrv.exe
    PrevxSetup.exe
    ProcessViewer.exe
    psctrls.exe
    pshost.exe
    PsImSvc.exe
    PTEDIT.EXE
    PTEDIT32.EXE
    PTEPIT32.EXE
    PXAgent.exe
    PXConsole.exe
    PXL.exe
    PXL1.exe
    PXReset.exe
    pxsupport.exe
    QHM32.EXE
    QHONLINE.EXE
    QHONSVC.EXE
    QHPF.EXE
    qhwscsvc.exe
    qklez.exe
    qrtfix.exe
    quaranti.exe
    RavMon.exe
    RavTimer.exe
    Realmon.exe
    REALMON95.EXE
    register.exe
    removeit.exe
    Remover.exe
    Rescue.exe
    rfwmain.exe
    Rtvscan.exe
    RTVSCN95.EXE
    RuLaunch.exe
    RunSetup.exe
    sarcli.exe
    sargui.exe
    SAV32CLI.EXE
    SAVAdminService.exe
    SAVMain.exe
    savprogress.exe
    SAVScan.exe
    SCAN32.EXE
    scanner.exe
    ScanningProcess.exe
    sched.exe
    sdhelp.exe
    sdinvoker.exe
    sdloader.exe
    SDTrayApp.exe
    seccenter.exe
    SERVIC~1.EXE
    SHSTAT.EXE
    sigtool.exe
    SiteCli.exe
    smc.exe
    SNDSrvc.exe
    SNUTIL.EXE
    SPBBCSvc.exe
    SPHINX.EXE
    spiderml.exe
    spidernt.exe
    Spiderui.exe
    sporder.exe
    SpybotSD.exe
    SPYXX.EXE
    SS3EDIT.EXE
    start_diag.exe
    stopsignav.exe
    SubmitFiles.exe
    svcntaux.exe
    swAgent.exe
    swdoctor.exe
    swdsvc.exe
    SWNETSUP.EXE
    SymantecRootInstaller.exe
    symlcsvc.exe
    SymProxySvc.exe
    SymSPort.exe
    TestProg.exe
    SymWSC.exe
    SYNMGR.EXE
    Sysinfo.exe
    TAUMON.EXE
    TBMon.exe
    TC.EXE
    tca.exe
    TCM.EXE
    TDS-3.EXE
    TeaTimer.exe
    TFAK.EXE
    tgsvcstp.exe
    THAV.EXE
    THGnard.exe
    THSM.EXE
    Tmas.exe
    tmlisten.exe
    Tmntsrv.exe
    TmPfw.exe
    tmproxy.exe
    tnbutil.exe
    tracelog.exe
    TRJSCAN.EXE
    TrojanGuarder.exe
    TrojanHunter.exe
    trtddptr.exe
    uiscan.exe
    UninstallCAVS.exe
    Uninstaller.exe
    UninstallLSP.exe
    unp_test.exe
    Up2Date.exe
    UPDATE.EXE
    UpdaterUI.exe
    updclient.exe
    upgrepl.exe
    UPSObMaker.exe
    UUpd.exe
    Vba32ECM.exe
    Vba32ifs.exe
    vba32ldr.exe
    Vba32PP3.exe
    VBSNTW.exe
    vchk.exe
    vcrmon.exe
    VetTray.exe
    viritexp.exe
    viritsvc.exe
    VirusKeeper.exe
    VirusNews.exe
    VistAux.exe
    VisthLic.exe
    VisthUpd.exe
    VPTRAY.EXE
    vrfwsvc.exe
    VRMONNT.EXE
    vrmonsvc.exe
    vrrw32.exe
    VSECOMR.EXE
    Vshwin32.exe
    vsmon.exe
    vsserv.exe
    VsStat.exe
    w9xpopen
    WATCHDOG.EXE
    Wclose.exe
    webfiltr.exe
    WebProxy.exe
    Webscanx.exe
    WEBTRAP.EXE
    WGFE95.EXE
    wil.exe
    Winaw32.exe
    WindowList.exe
    winroute.exe
    winss.exe
    winssnotify.exe
    WRADMIN.EXE
    WRCTRL.EXE
    writespid.exe
    WRPROG.EXE
    wsctool.exe
    xcommsvr.exe
    zatutor.exe
    ZAUINST.EXE
    zauninst.exe
    zlclient.exe
    zonealarm.exe
    _AVP32.EXE
    _AVPCC.EXE
    _AVPM.EXE

  • Для проверки обновлений своих модулей предпринимает попытки осуществлять соединение с веб-сайтами, список которых хранится в теле червя.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить ветвь реестра \Safeboot из резервной копии.