Email-Worm.Win32.Bagle.cl

Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако все прочие функции полностью соответствуют червям семейства Bagle. Был разослан при помощи спам-рассылки.

Email-Worm.Win32.Bagle.cl («Лаборатория Касперского») также известен как: W32/Bagle.dldr.gen (McAfee), BehavesLike:Win32.ExplorerHijack (SOFTWIN), Worm.Bagle.BB-gen (ClamAV), Suspect File (Panda)

Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако все прочие функции полностью соответствуют червям семейства Bagle. Был разослан при помощи спам-рассылки.

Червь представляет собой PE EXE-файл. Размер в упакованном виде составляет 36864 байта.

Инсталляция

После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:


%System%\winshost.exe
%System%\wiwshost.exe

Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "winshost.exe"="%System%\winshost.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение

Данная модификация червя самостоятельно не размножается. Она была разослана при помощи спам-рассылки. Как правило, зараженные письма имеют пустое поле темы и не имеют тела письма.

Действие

Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.

С целью блокирования запуска антивирусов и межсетевых экранов червь удаляет следующие ключи реестра:


[HKLM\SOFTWARE\Agnitum]
[HKLM\SOFTWARE\KasperskyLab]
[HKLM\SOFTWARE\McAfee]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client]
[HKLM\SOFTWARE\Panda Software]
[HKLM\SOFTWARE\Symantec]
[HKLM\SOFTWARE\Zone Labs]

Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Bagle.cl изменяет файл %System%\drivers\etc\hosts, оставляя в нем только следующую запись:

127.0.0.1 localhost