Email-Worm.Win32.Bagle.ay

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Email-Worm.Win32.Bagle.ay («Лаборатория Касперского») также известен как: W32.Beagle.AZ@mm (Symantec), Win32.HLLM.Beagle.18336 (Doctor Web), W32/Bagle-BK (Sophos), Win32/Bagle.BE@mm (RAV), WORM_BAGLE.AZ (Trend Micro), Worm/Bagle.AX.var (H+BEDV), W32/Bagle.BC@mm (FRISK), Win32.Bagle.AY@mm (SOFTWIN), Trojan.Downloader.Small-165 (ClamAV), W32/Bagle.BL.worm (Panda), Win32/Bagle.AX (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Написан на языке C. Запакован исправленной версией PEX. Размер упакованного файла - 19КБ. Распакованного - около 69КБ.

Содержит защиту от повторных запусков, т.е. в системе всегда присутствует только один процесс активного червя. Для этого червем создается мьютекс "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D".

Удаляет следующие ключи из реестра:


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
 "My AV"

Инсталляция

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

После активизации копирует себя в системный каталог Windows под именами:


    * sysformat.exe
    * sysformat.exeopen
    * sysformat.exeopenopen 

Прописывает файл sysformat.exe в ключ автозапуска:


[...\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]

Содержит функцию Trojan-Downloader - скачивает файл error.jpg с нескольких десятков адресов и устанавливает его в системный каталог Windows под именем re_file.exe.

Распространение через email

Червь ищет на диске файлы с расширениями из нижеприведенного списка и рассылает себя по найденным в них адресам электронной почты:


    * adb
    * asp
    * cfg
    * cgi
    * dbx
    * dhtm
    * eml
    * htm
    * jsp
    * mbx 

	

    * mdx
    * mht
    * mmf
    * msg
    * nch
    * ods
    * oft
    * php
    * pl
    * sht 

	

    * shtm
    * stm
    * tbb
    * txt
    * uin
    * wab
    * wsh
    * xls
    * xml 

Червь проверяет каждый найденный электронный адрес на предмет наличия в нем подстрок:

    * @avp.
    * @foo
    * @iana
    * @messagelab
    * @microsoft
    * abuse
    * admin
    * anyone@
    * bsd
    * bugs@
    * cafee
    * certific
    * contract@
    * feste
    * free-av 

	

    * f-secur
    * gold-certs@
    * google
    * help@
    * icrosoft
    * info@
    * kasp
    * linux
    * listserv
    * local
    * news
    * nobody@
    * noone@
    * noreply
    * ntivi 

	

    * panda
    * pgp
    * postmaster@
    * rating@
    * root@
    * samples
    * sopho
    * spam
    * support
    * unix
    * update
    * winrar
    * winzip 

Если такая подстрока присутствует, то червь себя не отправляет по найденному адресу.

Для рассылки писем использует собственный SMTP-движок.

Характеристики зараженных писем

Пример зараженного письма

Заголовок письма:

Выбирается из следующих:


    * Delivery service mail
    * Delivery by mail
    * Is delivered mail
    * Registration is accepted
    * You are made active 

Текст письма:

Выбирается из следующих:


    * Before use read the help
    * Thanks for use of our software. 

Имя вложения:

Выбирается из следующих:


    * guupd02
    * Jol03
    * siupd02
    * upd02
    * viupd02
    * wsd01
    * zupd02 

Размножение через файлообменные сети

Червь осуществляет поиск на диске каталогов, содержащих строку "shar". Если такие каталоги найдены, то в них червь выкладывает свое тело в файлы со следующими именами:


    * 1.exe
    * 10.exe
    * 2.exe
    * 3.exe
    * 4.exe
    * 5.scr
    * 6.exe
    * 7.exe
    * 8.exe
    * 9.exe
    * ACDSee 9.exe
    * Adobe Photoshop 9 full.exe
    * Ahead Nero 7.exe
    * Matrix 3 Revolution English Subtitles.exe
    * Opera 8 New!.exe
    * WinAmp 5 Pro Keygen Crack Update.exe
    * WinAmp 6 New!.exe
    * Windown Longhorn Beta Leak.exe
    * XXX hardcore images.exe 

Таким образом, он получает распространение через разделяемые ресурсы и P2P-сети.

Действие

При активизации червь уничтожает следующие процессы, осуществляющие персональную защиту компьютера и локальных подсетей:

    * alogserv.exe
    * APVXDWIN.EXE
    * ATUPDATER.EXE
    * ATUPDATER.EXE
    * AUPDATE.EXE
    * AUTODOWN.EXE
    * AUTOTRACE.EXE
    * AUTOUPDATE.EXE
    * Avconsol.exe
    * AVENGINE.EXE
    * AVPUPD.EXE
    * Avsynmgr.exe
    * AVWUPD32.EXE
    * AVXQUAR.EXE
    * AVXQUAR.EXE
    * bawindo.exe
    * blackd.exe
    * ccApp.exe
    * ccEvtMgr.exe
    * ccProxy.exe
    * ccPxySvc.exe 

	

    * CFIAUDIT.EXE
    * DefWatch.exe
    * DRWEBUPW.EXE
    * ESCANH95.EXE
    * ESCANHNT.EXE
    * FIREWALL.EXE
    * FrameworkService.exe
    * ICSSUPPNT.EXE
    * ICSUPP95.EXE
    * LUALL.EXE
    * LUCOMS~1.EXE
    * mcagent.exe
    * mcshield.exe
    * MCUPDATE.EXE
    * mcvsescn.exe
    * mcvsrte.exe
    * mcvsshld.exe
    * navapsvc.exe
    * navapsvc.exe
    * navapsvc.exe
    * navapw32.exe 

	

    * NISUM.EXE
    * nopdb.exe
    * NPROTECT.EXE
    * NPROTECT.EXE
    * NUPGRADE.EXE
    * NUPGRADE.EXE
    * OUTPOST.EXE
    * PavFires.exe
    * pavProxy.exe
    * pavsrv50.exe
    * Rtvscan.exe
    * RuLaunch.exe
    * SAVScan.exe
    * SHSTAT.EXE
    * SNDSrvc.exe
    * symlcsvc.exe
    * UPDATE.EXE
    * UpdaterUI.exe
    * Vshwin32.exe
    * VsStat.exe
    * VsTskMgr.exe