Email-Worm.Win32.Bagle.ax

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Email-Worm.Win32.Bagle.ax («Лаборатория Касперского») также известен как: W32.Beagle.AY@mm (Symantec), Win32.HLLM.Beagle.18336 (Doctor Web), W32/Bagle-AY (Sophos), Win32/Balge.AY@mm (RAV), WORM_BAGLE.AY (Trend Micro), Worm/Bagle.AX.var (H+BEDV), W32/Bagle.BB@mm (FRISK), I-Worm/Bagle.BB (Grisoft), Win32.Bagle.AW@mm (SOFTWIN), Trojan.Downloader.Small-165 (ClamAV), W32/Bagle.BK.worm (Panda), Win32/Bagle.AW (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером от 19КБ и более.

Инсталляция

После запуска червь копирует себя в системный каталог Windows со следующими именами:

 
     * %System%\sysformat.exe
     * %System%\sysformat.exeopen
     * %System%\sysformat.exeopenopen 

Затем регистрирует себя в ключе автозапуска системного реестра:

 
 [HKEY_CURRENT_USER\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "Sysformat"="%System%\sysformat.exe"

Распространение через email

Червь ищет на диске файлы с расширениями:

 
     * adb
     * asp
     * cfg
     * cgi
     * dbx
     * dhtm
     * eml
     * htm
     * jsp
     * mbx 
 
 	
 
     * mdx
     * mht
     * mmf
     * msg
     * nch
     * ods
     * oft
     * php
     * pl
     * sht 
 
 	
 
     * shtm
     * stm
     * tbb
     * txt
     * uin
     * wab
     * wsh
     * xls
     * xml 
 

После чего рассылает себя по всем найденным в них адресам электронной почты.

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

 
     * @avp
     * @foo
     * @iana
     * @messagelab
     * @microsoft
     * abuse
     * admin
     * anyone@
     * bsd
     * bugs@
     * cafee
     * certific
     * contract@
     * feste
     * free-av 
 
 	
 
     * f-secur
     * gold-certs@
     * google
     * help@
     * icrosoft
     * info@
     * kasp
     * linux
     * listserv
     * local
     * news
     * nobody@
     * noone@
     * noreply
     * ntivi 
 
 	
 
     * panda
     * pgp
     * postmaster@
     * rating@
     * root@
     * samples
     * sopho
     * spam
     * support
     * unix
     * update
     * winrar
     * winzip 

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

 
     * Delivery by mail
     * Delivery service mail
     * Is delivered mail
     * Registration is accepted
     * You are made active 

Текст письма:

Выбирается из списка:

 
     * Before use read the help
     * Thanks for use of our software. 

Имя файла-вложения:

Выбирается из списка:

  <p>
 
 
     * guupd02
     * Jol03
     * siupd02
     * upd02
     * viupd02
     * wsd01
     * zupd02 

Вложения могут иметь одно из расширений:

 
     * com
     * cpl
     * exe
     * scr 

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии строку "Share" с именами, выбираемыми из списка:

 
     * 1.exe
     * 10.exe
     * 2.exe
     * 3.exe
     * 4.exe
     * 5.scr
     * 6.exe
     * 7.exe
     * 8.exe
     * 9.exe
     * ACDSee 9.exe
     * Adobe Photoshop 9 full.exe
     * Ahead Nero 7.exe
     * Matrix 3 Revolution English Subtitles.exe
     * Opera 8 New!.exe
     * WinAmp 5 Pro Keygen Crack Update.exe
     * WinAmp 6 New!.exe
     * Windown Longhorn Beta Leak.exe
     * XXX hardcore images.exe 

Прочее

Email-Worm.Win32.Bagle.ax пытается выгрузить из системы различные процессы, в именах которых содержатся следующие строки:

 
     * alogserv.exe
     * APVXDWIN.EXE
     * ATUPDATER.EXE
     * ATUPDATER.EXE
     * AUPDATE.EXE
     * AUTODOWN.EXE
     * AUTOTRACE.EXE
     * AUTOUPDATE.EXE
     * Avconsol.exe
     * AVENGINE.EXE
     * AVPUPD.EXE
     * Avsynmgr.exe
     * AVWUPD32.EXE
     * AVXQUAR.EXE
     * AVXQUAR.EXE
     * bawindo.exe
     * blackd.exe
     * ccApp.exe
     * ccEvtMgr.exe
     * ccProxy.exe
     * ccPxySvc.exe 
 
 	
 
     * CFIAUDIT.EXE
     * DefWatch.exe
     * DRWEBUPW.EXE
     * ESCANH95.EXE
     * ESCANHNT.EXE
     * FIREWALL.EXE
     * FrameworkService.exe
     * ICSSUPPNT.EXE
     * ICSUPP95.EXE
     * LUALL.EXE
     * LUCOMS~1.EXE
     * mcagent.exe
     * mcshield.exe
     * MCUPDATE.EXE
     * mcvsescn.exe
     * mcvsrte.exe
     * mcvsshld.exe
     * navapsvc.exe
     * navapsvc.exe
     * navapsvc.exe
     * navapw32.exe 
 
 	
 
     * NISUM.EXE
     * nopdb.exe
     * NPROTECT.EXE
     * NPROTECT.EXE
     * NUPGRADE.EXE
     * NUPGRADE.EXE
     * OUTPOST.EXE
     * PavFires.exe
     * pavProxy.exe
     * pavsrv50.exe
     * Rtvscan.exe
     * RuLaunch.exe
     * SAVScan.exe
     * SHSTAT.EXE
     * SNDSrvc.exe
     * symlcsvc.exe
     * UPDATE.EXE
     * UpdaterUI.exe
     * Vshwin32.exe
     * VsStat.exe
     * VsTskMgr.exe