Email-Worm.Win32.Bagle.ax

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Email-Worm.Win32.Bagle.ax («Лаборатория Касперского») также известен как: W32.Beagle.AY@mm (Symantec), Win32.HLLM.Beagle.18336 (Doctor Web), W32/Bagle-AY (Sophos), Win32/Balge.AY@mm (RAV), WORM_BAGLE.AY (Trend Micro), Worm/Bagle.AX.var (H+BEDV), W32/Bagle.BB@mm (FRISK), I-Worm/Bagle.BB (Grisoft), Win32.Bagle.AW@mm (SOFTWIN), Trojan.Downloader.Small-165 (ClamAV), W32/Bagle.BK.worm (Panda), Win32/Bagle.AW (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером от 19КБ и более.

Инсталляция

После запуска червь копирует себя в системный каталог Windows со следующими именами:


    * %System%\sysformat.exe
    * %System%\sysformat.exeopen
    * %System%\sysformat.exeopenopen 

Затем регистрирует себя в ключе автозапуска системного реестра:


[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run]
 "Sysformat"="%System%\sysformat.exe"

Распространение через email

Червь ищет на диске файлы с расширениями:


    * adb
    * asp
    * cfg
    * cgi
    * dbx
    * dhtm
    * eml
    * htm
    * jsp
    * mbx 

	

    * mdx
    * mht
    * mmf
    * msg
    * nch
    * ods
    * oft
    * php
    * pl
    * sht 

	

    * shtm
    * stm
    * tbb
    * txt
    * uin
    * wab
    * wsh
    * xls
    * xml 

После чего рассылает себя по всем найденным в них адресам электронной почты.

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:


    * @avp
    * @foo
    * @iana
    * @messagelab
    * @microsoft
    * abuse
    * admin
    * anyone@
    * bsd
    * bugs@
    * cafee
    * certific
    * contract@
    * feste
    * free-av 

	

    * f-secur
    * gold-certs@
    * google
    * help@
    * icrosoft
    * info@
    * kasp
    * linux
    * listserv
    * local
    * news
    * nobody@
    * noone@
    * noreply
    * ntivi 

	

    * panda
    * pgp
    * postmaster@
    * rating@
    * root@
    * samples
    * sopho
    * spam
    * support
    * unix
    * update
    * winrar
    * winzip 

Характеристики зараженных писем

Тема письма:

Выбирается из списка:


    * Delivery by mail
    * Delivery service mail
    * Is delivered mail
    * Registration is accepted
    * You are made active 

Текст письма:

Выбирается из списка:


    * Before use read the help
    * Thanks for use of our software. 

Имя файла-вложения:

Выбирается из списка:

  <p>


    * guupd02
    * Jol03
    * siupd02
    * upd02
    * viupd02
    * wsd01
    * zupd02 

Вложения могут иметь одно из расширений:


    * com
    * cpl
    * exe
    * scr 

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии строку "Share" с именами, выбираемыми из списка:


    * 1.exe
    * 10.exe
    * 2.exe
    * 3.exe
    * 4.exe
    * 5.scr
    * 6.exe
    * 7.exe
    * 8.exe
    * 9.exe
    * ACDSee 9.exe
    * Adobe Photoshop 9 full.exe
    * Ahead Nero 7.exe
    * Matrix 3 Revolution English Subtitles.exe
    * Opera 8 New!.exe
    * WinAmp 5 Pro Keygen Crack Update.exe
    * WinAmp 6 New!.exe
    * Windown Longhorn Beta Leak.exe
    * XXX hardcore images.exe 

Прочее

Email-Worm.Win32.Bagle.ax пытается выгрузить из системы различные процессы, в именах которых содержатся следующие строки:


    * alogserv.exe
    * APVXDWIN.EXE
    * ATUPDATER.EXE
    * ATUPDATER.EXE
    * AUPDATE.EXE
    * AUTODOWN.EXE
    * AUTOTRACE.EXE
    * AUTOUPDATE.EXE
    * Avconsol.exe
    * AVENGINE.EXE
    * AVPUPD.EXE
    * Avsynmgr.exe
    * AVWUPD32.EXE
    * AVXQUAR.EXE
    * AVXQUAR.EXE
    * bawindo.exe
    * blackd.exe
    * ccApp.exe
    * ccEvtMgr.exe
    * ccProxy.exe
    * ccPxySvc.exe 

	

    * CFIAUDIT.EXE
    * DefWatch.exe
    * DRWEBUPW.EXE
    * ESCANH95.EXE
    * ESCANHNT.EXE
    * FIREWALL.EXE
    * FrameworkService.exe
    * ICSSUPPNT.EXE
    * ICSUPP95.EXE
    * LUALL.EXE
    * LUCOMS~1.EXE
    * mcagent.exe
    * mcshield.exe
    * MCUPDATE.EXE
    * mcvsescn.exe
    * mcvsrte.exe
    * mcvsshld.exe
    * navapsvc.exe
    * navapsvc.exe
    * navapsvc.exe
    * navapw32.exe 

	

    * NISUM.EXE
    * nopdb.exe
    * NPROTECT.EXE
    * NPROTECT.EXE
    * NUPGRADE.EXE
    * NUPGRADE.EXE
    * OUTPOST.EXE
    * PavFires.exe
    * pavProxy.exe
    * pavsrv50.exe
    * Rtvscan.exe
    * RuLaunch.exe
    * SAVScan.exe
    * SHSTAT.EXE
    * SNDSrvc.exe
    * symlcsvc.exe
    * UPDATE.EXE
    * UpdaterUI.exe
    * Vshwin32.exe
    * VsStat.exe
    * VsTskMgr.exe