Email-Worm.Win32.Bagle.ek

Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.

Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

Червь представляет собой PE EXE-файл, размером около 21 КБ.

Инсталляция

После запуска червь копирует себя с именем windll2.exe в системный каталог Windows:

  %System%\windll2.exe
  

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем

Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.

  Тема письма:
  
  <пустое поле>
  
  Текст письма:
  
  Выбирается из списка:
  
  info
  Password:
  texte
  The password is
  
  Имя файла-вложения:
  
  Выбирается из списка:
  
  Business.zip 
  Business_dealing.zip 
  Health_and_knowledge.zip
  Info_prices.zip 
  max.zip 
  sms_text.zip 
  text_sms.zip 
  The_new_prices.zip
  

Архив содержит файл с расширением «exe». Данный файл является компонентом червя и также детектируется Антивирусом Касперского как Email-Worm.Win32.Bagle.ek.

Действия рассылаемого по почте exe-компонента

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

Размер данного файла — около 10 КБ.

При инсталляции запускаемый файл создает в системном каталоге Windows файлы с именами hloader_exe.exe и hleader_dll.dll:

  
  %System%\hleader_dll.dll
  %System%\hloader_exe.exe
  

Затем регистрирует себя в ключах автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "auto_hloader_key"="%System%\hloader_exe.exe"
  

Создаваемый dll-файл содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.

Другие названия

Email-Worm.Win32.Bagle.ek («Лаборатория Касперского») также известен как: W32/Bagle.gen (McAfee), W32.Beagle.CO@mm (Symantec), Win32.HLLM.Beagle (Doctor Web), Troj/BagleDl-AB (Sophos), Worm/Bagle.DX (H+BEDV), Win32.Bagle.10.Gen@mm (SOFTWIN), Worm.Bagle.Gen-6 (ClamAV), W32/Bagle.FQ.worm (Panda), Win32/Bagle.DM (Eset)