Email-Worm.Win32.Bagle.dx

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Содержит в себе бэкдор-функцию.

Червь представляет собой PE EXE-файл размером около 21 КБ. Упакован FSG. Размер распакованного файла — около 82 КБ.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем winhost.exe:

 
 %System%\winhost.exe
 

Затем регистрирует себя в ключе автозапуска системного реестра:

 
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "winhost.exe"="%System%\winhost.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.

 
 adb
 asp
 cfg
 dbx
 dhtm
 eml
 htm
 html
 jsp
 mbx
 mdx
 mht
 mmf
 msg
 nch
 ods
 oft
 php
 sht
 shtm
 shtml
 stm
 tbb
 txt
 uin
 wab
 wsh
 xls
 xml

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

 
 @avp.
 @foo
 @hotmail.com
 @iana
 @messagelab
 @microsoft
 @msn.com
 abuse
 admin
 anyone@
 bsd
 bugs@
 cafee
 certific
 contract@
 feste
 free-av
 f-secur
 gold-certs@
 google
 help@
 icrosoft
 info@
 kasp
 linux
 listserv
 local
 news
 nobody@
 noone@
 noreply
 ntivi
 panda
 pgp
 postmaster@
 rating@
 root@
 samples
 shar
 sopho
 spam
 support
 unix
 update
 winrar
 winzip
 

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

 
     * Changes..
     * Encrypted document
     * Fax Message
     * Forum notify
     * Incoming message
     * Notification
     * Protected message
     * Re:
     * Re: Document
     * Re: Hello
     * Re: Hi
     * Re: Incoming Message
     * RE: Incoming Msg
     * RE: Message Notify
     * Re: Msg reply
     * RE: Protected message
     * RE: Text message
     * Re: Thank you!
     * Re: Thanks :)
     * Re: Yahoo!
     * Site changes
     * Update 
 

Текст письма:

Выбирается из списка:

 
     * Attach tells everything.
     * Attached file tells everything.
     * Check attached file for details.
     * Check attached file.
     * Here is the file.
     * Message is in attach
     * More info is in attach
     * Pay attention at the attach.
     * Please, have a look at the attached file.
     * Please, read the document.
     * Read the attach.
     * See attach.
     * See the attached file for details.
     * Try this.
     * Your document is attached.
     * Your file is attached. 

Подпись к письму:

В том случае, если зараженное письмо содержит вложенный файл в архиве, то к телу письма прикрепляется подпись, выбранная из следующего списка:

 
     * Archive password: <картинка с паролем>
     * Attached file is protected with the password for security reasons. Password is <картинка с паролем>
     * For security purposes the attached file is password protected. Password -- <картинка с паролем>
     * For security reasons attached file is password protected. The password is <картинка с паролем>
     * In order to read the attach you have to use the following password: <картинка с паролем>
     * Note: Use password <картинка с паролем> to open archive.
     * Password - <картинка с паролем>
     * Password: <картинка с паролем> 

Имя файла-вложения:

Выбирается из списка:

 
     * Details.exe
     * Document.exe
     * Info.exe
     * Information.exe
     * Message.exe
     * MoreInfo.exe
     * Readme.exe
     * Sources.exe
     * text_document.exe
     * Updates.exe 
 

Также во вложении может содержаться запароленный zip-архив. В данном случае пароль для распаковки архива будет указан в теле письма.

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Shar» с именами выбираемыми из списка:

 
     * 12 year old Katia sucks and fucks me in lots of positions. (teen preteen anal cumshot sex young whore school lolita.avi <много пробелов> .exe
     * Adobe Photoshop 9 full.exe
     * Ahead Nero 7.exe
     * Doom3_nocd.exe
     * HalfLife2_noCD.exe
     * Kaspersky Antivirus 5.0
     * KAV 5.0
     * Lolita porn.avi <много пробелов> .exe
     * Matrix 3 Revolution English Subtitles.exe
     * Microsoft Office 2003 Crack, Working!.exe
     * Microsoft Office XP working Crack, Keygen.exe
     * Microsoft Windows XP, WinXP Crack, working Keygen.exe
     * Norton Antivirus, working Keygen.exe
     * nude lolita.jpg <много пробелов> .exe
     * Opera 8 New!.exe
     * Porno pics arhive, xxx.exe
     * Porno Screensaver.scr
     * Porno, sex, oral, anal cool, awesome!!.exe
     * Serials.txt.exe
     * WinAmp 5 Pro Keygen Crack Update.exe
     * WinAmp 6 New!.exe
     * Windown Longhorn Beta Leak.exe
     * Windows Sourcecode update.doc.exe
     * XXX hardcore images.exe 

Удаленное администрирование

Червь открывает и затем отслеживает TCP-порт 9035 для приема команд от злоумышленника.

Прочее

Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Червь содержит следующие URL:

 
 http://***hiphops.com
 http://***omy.ru/_old_img
 http://***yforum.ru
 http://64.***.44.10
 http://64.12.***.12
 http://68.**.54.122
 http://b***g.org
 http://block***.net/img
 http://motiveth***.com/img
 http://nine-***-one.ca/images
 http://res***.com
 http://talen***.com/img
 http://tovar***.net
 http://www.***creations.com/img
 http://www.***dgoods.com/img
 http://www.ladyw***s.com
 http://zal***.net
 

Также Bagle.dx пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

 
 AGENTSVR.EXE
 ANTI-TROJAN.EXE
 ANTIVIRUS.EXE
 ANTS.EXE
 APIMONITOR.EXE
 APLICA32.EXE
 APVXDWIN.EXE
 ATCON.EXE
 ATGUARD.EXE
 ATRO55EN.EXE
 ATUPDATER.EXE
 ATWATCH.EXE
 AUPDATE.EXE
 AUTODOWN.EXE
 AUTOTRACE.EXE
 AUTOUPDATE.EXE
 AVCONSOL.EXE
 AVGSERV9.EXE
 AVLTMAIN.EXE
 AVprotect9x.exe
 AVPUPD.EXE
 AVSYNMGR.EXE
 AVWUPD32.EXE
 AVXQUAR.EXE
 BD_PROFESSIONAL.EXE
 BIDEF.EXE
 BIDSERVER.EXE
 BIPCP.EXE
 BIPCPEVALSETUP.EXE
 BISP.EXE
 BLACKD.EXE
 BLACKICE.EXE
 BOOTWARN.EXE
 BORG2.EXE
 BS120.EXE
 ccApp.exe
 ccEvtMgr.exe
 CDP.EXE
 CFGWIZ.EXE
 CFIADMIN.EXE
 CFIAUDIT.EXE
 CFIAUDIT.EXE
 CFIAUDIT.EXE
 CFINET.EXE
 CFINET.EXE
 CFINET32.EXE
 CLEAN.EXE
 CLEANER.EXE
 CLEANER3.EXE
 CLEANPC.EXE
 CLEANPC.EXE
 CMGRDIAN.EXE
 CMGRDIAN.EXE
 CMON016.EXE
 CMON016.EXE
 CPD.EXE
 CPF9X206.EXE
 CPFNT206.EXE
 CWNB181.EXE
 CWNTDWMO.EXE
 DEFWATCH.EXE
 DEPUTY.EXE
 DPF.EXE
 DPFSETUP.EXE
 DRWATSON.EXE
 DRWEBUPW.EXE
 ENT.EXE
 ESCANH95.EXE
 ESCANHNT.EXE
 ESCANV95.EXE
 EXANTIVIRUS-CNET.EXE
 FAST.EXE
 FIREWALL.EXE
 FLOWPROTECTOR.EXE
 FP-WIN_TRIAL.EXE
 FRW.EXE
 FSAV.EXE
 FSAV530STBYB.EXE
 FSAV530WTBYB.EXE
 FSAV95.EXE
 GBMENU.EXE
 GBPOLL.EXE
 GUARD.EXE
 GUARDDOG.EXE
 HACKTRACERSETUP.EXE
 HTLOG.EXE
 HWPE.EXE
 IAMAPP.EXE
 IAMAPP.EXE
 IAMSERV.EXE
 ICLOAD95.EXE
 ICLOADNT.EXE
 ICMON.EXE
 ICSSUPPNT.EXE
 ICSUPP95.EXE
 ICSUPPNT.EXE
 IFW2000.EXE
 IPARMOR.EXE
 IRIS.EXE
 JAMMER.EXE
 KAVLITE40ENG.EXE
 KAVPERS40ENG.EXE
 KERIO-PF-213-EN-WIN.EXE
 KERIO-WRL-421-EN-WIN.EXE
 KERIO-WRP-421-EN-WIN.EXE
 KILLPROCESSSETUP161.EXE
 LDPRO.EXE
 LOCALNET.EXE
 LOCKDOWN.EXE
 LOCKDOWN2000.EXE
 LSETUP.EXE
 LUALL.EXE
 LUCOMSERVER.EXE
 LUINIT.EXE
 MCAGENT.EXE
 MCUPDATE.EXE
 MCUPDATE.EXE
 MFW2EN.EXE
 MFWENG3.02D30.EXE
 MGUI.EXE
 MINILOG.EXE
 MOOLIVE.EXE
 MRFLUX.EXE
 MSCONFIG.EXE
 MSINFO32.EXE
 MSSMMC32.EXE
 MU0311AD.EXE
 NAV80TRY.EXE
 navapsvc.exe
 NAVAPW32.EXE
 NAVDX.EXE
 NavShExt.dll
 NAVSTUB.EXE
 NAVW32.EXE
 NC2000.EXE
 NCINST4.EXE
 NDD32.EXE
 NEOMONITOR.EXE
 NETARMOR.EXE
 NETINFO.EXE
 NETMON.EXE
 NETSCANPRO.EXE
 NETSPYHUNTER-1.2.EXE
 NETSTAT.EXE
 NISSERV.EXE
 NMAIN.EXE
 NORTON_INTERNET_SECU_3.0_407.EXE
 NPF40_TW_98_NT_ME_2K.EXE
 NPFMESSENGER.EXE
 NPROTECT.EXE
 NPROTECT.EXE
 NSCHED32.EXE
 NTVDM.EXE
 NUPGRADE.EXE
 NVARCH16.EXE
 NWINST4.EXE
 NWTOOL16.EXE
 OSTRONET.EXE
 OUTPOST.EXE
 OUTPOSTINSTALL.EXE
 OUTPOSTPROINSTALL.EXE
 PADMIN.EXE
 PANIXK.EXE
 PAVPROXY.EXE
 PCC2002S902.EXE
 PCC2K_76_1436.EXE
 PCCIOMON.EXE
 PCDSETUP.EXE
 PCFWALLICON.EXE
 PCFWALLICON.EXE
 PCIP10117_0.EXE
 PDSETUP.EXE
 PERISCOPE.EXE
 PERSFW.EXE
 PF2.EXE
 PFWADMIN.EXE
 PINGSCAN.EXE
 PLATIN.EXE
 POPROXY.EXE
 POPSCAN.EXE
 PORTDETECTIVE.EXE
 PPINUPDT.EXE
 PPTBC.EXE
 PPVSTOP.EXE
 PROCEXPLORERV1.0.EXE
 PROPORT.EXE
 PROTECTX.EXE
 PSPF.EXE
 QCONSOLE.EXE
 QSERVER.EXE
 REGEDIT.EXE
 REGEDT32.EXE
 RESCUE.EXE
 RESCUE32.EXE
 RRGUARD.EXE
 RSHELL.EXE
 RULAUNCH.EXE
 SAFEWEB.EXE
 SAVSCAN.EXE
 SBSERV.EXE
 SETUP_FLOWPROTECTOR_US.EXE
 SETUPVAMEEVAL.EXE
 SFC.EXE
 SGSSFW32.EXE
 SHELLSPYINSTALL.EXE
 SymWSC.exe
 SYSEDIT.EXE
 TAUMON.EXE
 TAUSCAN.EXE
 TRACERT.EXE
 TRJSCAN.EXE
 TRJSETUP.EXE
 TROJANTRAP3.EXE
 UNDOBOOT.EXE
 UPDATE.EXE
 VBCMSERV.EXE
 VBCONS.EXE
 VBUST.EXE
 VIRUSMDPERSONALFIREWALL.EXE
 W32DSM89.EXE
 WATCHDOG.EXE
 WEBSCANX.EXE
 WHOSWATCHINGME.EXE
 WINRECON.EXE
 WNT.EXE
 WRADMIN.EXE
 WRCTRL.EXE
 WSBGATE.EXE
 WYVERNWORKSFIREWALL.EXE
 XPF202EN.EXE
 ZONALM2601.EXE
 ZONEALARM.EXE