Email-Worm.Win32.Bagle.cr

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Email-Worm.Win32.Bagle.cr («Лаборатория Касперского») также известен как: W32/Bagle@MM!cpl (McAfee), Win32.HLLM.Beagle.36864 (Doctor Web), Win32.Bagle.10.Gen@mm (SOFTWIN), Worm.Bagle.BN (ClamAV), W32/Bagle.EI.worm (Panda), Win32/Bagle.BI (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Зараженные письма имеют пустое поле темы и не имеют тела письма. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

Червь содержит в себе бэкдор-функцию.

Червь представляет собой PE EXE-файл, размером 24493 байт.

Инсталляция

После запуска червь копирует себя с именем svc111.exe в системный каталог Windows:


%System%\svc111.exe

Распространение через email

Данный вариант червя не ищет электронные адреса потенциальных жерт на зараженном компьютере. Червь имеет возможность загрузить из интернета файлы, содержащие адреса электронной почты будущих жертв. Червь содержит весьма объемный список интернет-страниц, с которых можно скачать данные файлы.

Червь рассылает зараженные письма по всем содержащимся в скаченном файле адресам электронной почты. Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Зараженные письма имеют пустое поле темы и не имеют тела письма. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.

Тема письма:

<пустое поле>

Текст письма:

<пустое поле>

Имя файла-вложения:
Выбирается произвольным образом из списка:

    * (-).zip
    * -))).zip
    * Diary.zip
    * The_important_document.zip
    * To_the_daddy.zip
    * War_of_the_worlds.zip

Архив содержит следующий файл:

(-).cpl

Данный файл является компонентом червя и детектируется Антивирусом Касперского так же, как и основной модуль — Email-Worm.Win32.Bagle.cr.

Удаленное администрирование

Червь открывает и затем отслеживает TCP-порт 80 для приема команд от злоумышленника.

Действия компонента (-).cpl

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

Размер данного файла 14253 байта.

После запуска на компьютере данный файл открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции (-).cpl создает в корневом каталоге Windows файл с именем cjector.exe:


%Windir%\cjector.exe

После чего создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:

%System%\winshost.exe
%System%\wiwshost.exe

Затем регистрирует себя в ключах автозапуска системного реестра:


[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "winshost.exe"="%System%\winshost.exe"

Действие

Компонент (-).cpl содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.

С целью блокирования запуска антивирусов и межсетевых экранов файл червя удаляет следующие ключи реестра:

[HKLM\SOFTWARE\Agnitum]
[HKLM\SOFTWARE\KasperskyLab]
[HKLM\SOFTWARE\McAfee]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client]
[HKLM\SOFTWARE\Panda Software]
[HKLM\SOFTWARE\Symantec]
[HKLM\SOFTWARE\Zone Labs]

Также выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Изменяет файл %System%\drivers\etc\hosts, оставляя в нем только следующую запись:


127.0.0.1 localhost