Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.
Червь представляет собой PE EXE-файл, размером около 21 КБ.
Инсталляция
После запуска червь копирует себя с именем windll2.exe в системный каталог Windows:
%System%\windll2.exe
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.
Тема письма: <пустое поле> Текст письма: Выбирается из списка: info Password: texte The password is Имя файла-вложения: Выбирается из списка: Business.zip Business_dealing.zip Health_and_knowledge.zip Info_prices.zip max.zip sms_text.zip text_sms.zip The_new_prices.zip
Архив содержит файл с расширением «exe». Данный файл является компонентом червя и также детектируется Антивирусом Касперского как Email-Worm.Win32.Bagle.ek.
Действия рассылаемого по почте exe-компонента
Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.
Размер данного файла — около 10 КБ.
При инсталляции запускаемый файл создает в системном каталоге Windows файлы с именами hloader_exe.exe и hleader_dll.dll:
%System%\hleader_dll.dll %System%\hloader_exe.exe
Затем регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "auto_hloader_key"="%System%\hloader_exe.exe"
Создаваемый dll-файл содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.
Другие названия
Email-Worm.Win32.Bagle.ek («Лаборатория Касперского») также известен как: W32/Bagle.gen (McAfee), W32.Beagle.CO@mm (Symantec), Win32.HLLM.Beagle (Doctor Web), Troj/BagleDl-AB (Sophos), Worm/Bagle.DX (H+BEDV), Win32.Bagle.10.Gen@mm (SOFTWIN), Worm.Bagle.Gen-6 (ClamAV), W32/Bagle.FQ.worm (Panda), Win32/Bagle.DM (Eset)