Email-Worm.Win32.Bagle.ek

Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.

Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.

Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

Червь представляет собой PE EXE-файл, размером около 21 КБ.

Инсталляция

После запуска червь копирует себя с именем windll2.exe в системный каталог Windows:

%System%\windll2.exe

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем

Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.

Тема письма:

<пустое поле>

Текст письма:

Выбирается из списка:

info
Password:
texte
The password is

Имя файла-вложения:

Выбирается из списка:

Business.zip 
Business_dealing.zip 
Health_and_knowledge.zip
Info_prices.zip 
max.zip 
sms_text.zip 
text_sms.zip 
The_new_prices.zip

Архив содержит файл с расширением «exe». Данный файл является компонентом червя и также детектируется Антивирусом Касперского как Email-Worm.Win32.Bagle.ek.

Действия рассылаемого по почте exe-компонента

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

Размер данного файла — около 10 КБ.

При инсталляции запускаемый файл создает в системном каталоге Windows файлы с именами hloader_exe.exe и hleader_dll.dll:


%System%\hleader_dll.dll
%System%\hloader_exe.exe

Затем регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "auto_hloader_key"="%System%\hloader_exe.exe"

Создаваемый dll-файл содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.

Другие названия

Email-Worm.Win32.Bagle.ek («Лаборатория Касперского») также известен как: W32/Bagle.gen (McAfee), W32.Beagle.CO@mm (Symantec), Win32.HLLM.Beagle (Doctor Web), Troj/BagleDl-AB (Sophos), Worm/Bagle.DX (H+BEDV), Win32.Bagle.10.Gen@mm (SOFTWIN), Worm.Bagle.Gen-6 (ClamAV), W32/Bagle.FQ.worm (Panda), Win32/Bagle.DM (Eset)