Статьи
Одной из самых опасных разновидностей вредноносных программ, которая доставляет множество неприятностей
владельцам персональных компьютеров, является червь почтовой рассылки «Win32.HLLM.Beagle.12. Данный червь,
как и многие другие разновидности червей, внедряется в операционку «Windows» 95/98/Me/NT/2000/XP. Сам червь
содержится в письме и присоединяется к нему, как приложение ZIP файла общим размером 8 кб. Червь имеет вид PE EXE
файла общим размером 10268 и способен внести различные значения в ключи реестра компьютера.
Червь может внести значительные изменения и создает свою автокопию при инициализации компьютера. Кроме этого,
червь моментально изменяет значения в ключах реестра компьютера.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
“auto__hloader__key” = C:\WINDOWS\System32\hloader_exe.exe
Компьютеры заражаются данным червем через спам рассылку. Пока еще нет подтверждения о том, можно ли заразиться
червем через почтовую рассылку и использование удаленных уязвимостей.
При заражении компьютера данный червь создает в подкаталоге %SystemRoot%\System32 файл с названием
hloader_exe.exe с общим размером файла равным 19076 байт. После этого, в корневом каталоге «Windows» червь создает
директорию exefld и сохраняет в этой директории различные модули.
Все эти модули копируются в созданную червем директорию и сохраняются под различными именами, такими как
antiav_exe.exe и antiav_dll.dll
Червь блокирует большое количество программных модулей, а также затрудняет работу различных антивирусных программ
и межсетевых экранов. Данный вирус целенаправленно удаляет различные программные модули, либо переименовывает их.
Кроме того, компьютер останавливает и отключает различные службы, необходимые для работы резидентных фильтров.
Осуществляется блокировка различных утилит «Windows» и утилит для просмотра процессов «Windows».
Чтобы восстановить систему после заражения червем необходимо загрузить «Windows» в безопасном режиме. Использовать
надежную антивирусную программу (профессионалы советуют применять Kaspersky или NOD) и просканировать все диски
на наличие вируса. Для найденных зараженных файлов применить действие «Лечить». ОБЯЗАТЕЛЬНО необходимо удалить
все записи в реестре «Windows», которые имеют данный код. Профессионалы применяют msconfig.exe, либо аналогичные
утилиты. После этого следует восстановить реестр из резервной копии.