Email-Worm.Win32.Bagle.ay

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Email-Worm.Win32.Bagle.ay («Лаборатория Касперского») также известен как: W32.Beagle.AZ@mm (Symantec), Win32.HLLM.Beagle.18336 (Doctor Web), W32/Bagle-BK (Sophos), Win32/Bagle.BE@mm (RAV), WORM_BAGLE.AZ (Trend Micro), Worm/Bagle.AX.var (H+BEDV), W32/Bagle.BC@mm (FRISK), Win32.Bagle.AY@mm (SOFTWIN), Trojan.Downloader.Small-165 (ClamAV), W32/Bagle.BL.worm (Panda), Win32/Bagle.AX (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Написан на языке C. Запакован исправленной версией PEX. Размер упакованного файла - 19КБ. Распакованного - около 69КБ.

Содержит защиту от повторных запусков, т.е. в системе всегда присутствует только один процесс активного червя. Для этого червем создается мьютекс "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D".

Удаляет следующие ключи из реестра:

 
 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
 CurrentVersion\Run]
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
 CurrentVersion\Run]
  "My AV"

Инсталляция

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

После активизации копирует себя в системный каталог Windows под именами:

 
     * sysformat.exe
     * sysformat.exeopen
     * sysformat.exeopenopen 
 

Прописывает файл sysformat.exe в ключ автозапуска:

 
 [...\SOFTWARE\Microsoft\Windows\
 CurrentVersion\Run]

Содержит функцию Trojan-Downloader - скачивает файл error.jpg с нескольких десятков адресов и устанавливает его в системный каталог Windows под именем re_file.exe.

Распространение через email

Червь ищет на диске файлы с расширениями из нижеприведенного списка и рассылает себя по найденным в них адресам электронной почты:

 
     * adb
     * asp
     * cfg
     * cgi
     * dbx
     * dhtm
     * eml
     * htm
     * jsp
     * mbx 
 
 	
 
     * mdx
     * mht
     * mmf
     * msg
     * nch
     * ods
     * oft
     * php
     * pl
     * sht 
 
 	
 
     * shtm
     * stm
     * tbb
     * txt
     * uin
     * wab
     * wsh
     * xls
     * xml 

Червь проверяет каждый найденный электронный адрес на предмет наличия в нем подстрок:

     * @avp.
     * @foo
     * @iana
     * @messagelab
     * @microsoft
     * abuse
     * admin
     * anyone@
     * bsd
     * bugs@
     * cafee
     * certific
     * contract@
     * feste
     * free-av 
 
 	
 
     * f-secur
     * gold-certs@
     * google
     * help@
     * icrosoft
     * info@
     * kasp
     * linux
     * listserv
     * local
     * news
     * nobody@
     * noone@
     * noreply
     * ntivi 
 
 	
 
     * panda
     * pgp
     * postmaster@
     * rating@
     * root@
     * samples
     * sopho
     * spam
     * support
     * unix
     * update
     * winrar
     * winzip 
 

Если такая подстрока присутствует, то червь себя не отправляет по найденному адресу.

Для рассылки писем использует собственный SMTP-движок.

Характеристики зараженных писем

Пример зараженного письма

Заголовок письма:

Выбирается из следующих:

 
     * Delivery service mail
     * Delivery by mail
     * Is delivered mail
     * Registration is accepted
     * You are made active 

Текст письма:

Выбирается из следующих:

 
     * Before use read the help
     * Thanks for use of our software. 

Имя вложения:

Выбирается из следующих:

 
     * guupd02
     * Jol03
     * siupd02
     * upd02
     * viupd02
     * wsd01
     * zupd02 

Размножение через файлообменные сети

Червь осуществляет поиск на диске каталогов, содержащих строку "shar". Если такие каталоги найдены, то в них червь выкладывает свое тело в файлы со следующими именами:

 
     * 1.exe
     * 10.exe
     * 2.exe
     * 3.exe
     * 4.exe
     * 5.scr
     * 6.exe
     * 7.exe
     * 8.exe
     * 9.exe
     * ACDSee 9.exe
     * Adobe Photoshop 9 full.exe
     * Ahead Nero 7.exe
     * Matrix 3 Revolution English Subtitles.exe
     * Opera 8 New!.exe
     * WinAmp 5 Pro Keygen Crack Update.exe
     * WinAmp 6 New!.exe
     * Windown Longhorn Beta Leak.exe
     * XXX hardcore images.exe 

Таким образом, он получает распространение через разделяемые ресурсы и P2P-сети.

Действие

При активизации червь уничтожает следующие процессы, осуществляющие персональную защиту компьютера и локальных подсетей:

     * alogserv.exe
     * APVXDWIN.EXE
     * ATUPDATER.EXE
     * ATUPDATER.EXE
     * AUPDATE.EXE
     * AUTODOWN.EXE
     * AUTOTRACE.EXE
     * AUTOUPDATE.EXE
     * Avconsol.exe
     * AVENGINE.EXE
     * AVPUPD.EXE
     * Avsynmgr.exe
     * AVWUPD32.EXE
     * AVXQUAR.EXE
     * AVXQUAR.EXE
     * bawindo.exe
     * blackd.exe
     * ccApp.exe
     * ccEvtMgr.exe
     * ccProxy.exe
     * ccPxySvc.exe 
 
 	
 
     * CFIAUDIT.EXE
     * DefWatch.exe
     * DRWEBUPW.EXE
     * ESCANH95.EXE
     * ESCANHNT.EXE
     * FIREWALL.EXE
     * FrameworkService.exe
     * ICSSUPPNT.EXE
     * ICSUPP95.EXE
     * LUALL.EXE
     * LUCOMS~1.EXE
     * mcagent.exe
     * mcshield.exe
     * MCUPDATE.EXE
     * mcvsescn.exe
     * mcvsrte.exe
     * mcvsshld.exe
     * navapsvc.exe
     * navapsvc.exe
     * navapsvc.exe
     * navapw32.exe 
 
 	
 
     * NISUM.EXE
     * nopdb.exe
     * NPROTECT.EXE
     * NPROTECT.EXE
     * NUPGRADE.EXE
     * NUPGRADE.EXE
     * OUTPOST.EXE
     * PavFires.exe
     * pavProxy.exe
     * pavsrv50.exe
     * Rtvscan.exe
     * RuLaunch.exe
     * SAVScan.exe
     * SHSTAT.EXE
     * SNDSrvc.exe
     * symlcsvc.exe
     * UPDATE.EXE
     * UpdaterUI.exe
     * Vshwin32.exe
     * VsStat.exe
     * VsTskMgr.exe 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.