Email-Worm.Win32.Bagle.ek

Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.

Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.

Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

Червь представляет собой PE EXE-файл, размером около 21 КБ.

Инсталляция

После запуска червь копирует себя с именем windll2.exe в системный каталог Windows:

 %System%\windll2.exe
 

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем

Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.

 Тема письма:
 
 <пустое поле>
 
 Текст письма:
 
 Выбирается из списка:
 
 info
 Password:
 texte
 The password is
 
 Имя файла-вложения:
 
 Выбирается из списка:
 
 Business.zip 
 Business_dealing.zip 
 Health_and_knowledge.zip
 Info_prices.zip 
 max.zip 
 sms_text.zip 
 text_sms.zip 
 The_new_prices.zip
 

Архив содержит файл с расширением «exe». Данный файл является компонентом червя и также детектируется Антивирусом Касперского как Email-Worm.Win32.Bagle.ek.

Действия рассылаемого по почте exe-компонента

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

Размер данного файла — около 10 КБ.

При инсталляции запускаемый файл создает в системном каталоге Windows файлы с именами hloader_exe.exe и hleader_dll.dll:

 
 %System%\hleader_dll.dll
 %System%\hloader_exe.exe
 

Затем регистрирует себя в ключах автозапуска системного реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "auto_hloader_key"="%System%\hloader_exe.exe"
 

Создаваемый dll-файл содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.

Другие названия

Email-Worm.Win32.Bagle.ek («Лаборатория Касперского») также известен как: W32/Bagle.gen (McAfee), W32.Beagle.CO@mm (Symantec), Win32.HLLM.Beagle (Doctor Web), Troj/BagleDl-AB (Sophos), Worm/Bagle.DX (H+BEDV), Win32.Bagle.10.Gen@mm (SOFTWIN), Worm.Bagle.Gen-6 (ClamAV), W32/Bagle.FQ.worm (Panda), Win32/Bagle.DM (Eset)

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.