Email-Worm.Win32. Bagle.fj

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Размер зараженного файла варьируется в пределах от 16 до 21 КБ.

Инсталляция

После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции червь копирует себя в системный каталог Windows с именем sysformat.exe:

%System%\sysformat.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "sysformat" = "%System%\sysformat.exe"
 

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующий ключ системного реестра с целью блокировки сервиса файервола в Windows XP:

 
 [HKLM\System\CurrentControlSet\Services\SharedAccess]
  "Start"="4"
 

Также червь добавляет следующую запись в системный реестр в качестве идентификатора зражения системы:

 
 [HKCU\Software\Microsoft\Params]
  "FirstRun"="01"
 

Распространение через email

Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.

 adb
 asp
 cfg
 cgi
 dbx
 dhtm
 eml
 htm
 jsp
 mbx
 mdx
 mht
 mmf
 msg
 nch
 ods
 oft
 php
 pl
 sht
 shtm
 stm
 tbb
 txt
 uin
 wab
 wsh
 xls
 xml
 

Для отправки почты червь пытается осуществить прямое подключение к SMTP-серверам.

Игнорируется отправка писем на адреса, содержащие следующие строки:

 @avp.
 @foo
 @iana
 @messagelab
 @microsoft
 abuse
 admin
 anyone@
 bsd
 bugs@
 cafee
 certific
 contract@
 feste
 free-av
 f-secur
 gold-certs@
 google
 help@
 icrosoft
 info@
 kasp
 linux
 listserv
 local
 news
 nobody@
 noone@
 noreply
 ntivi
 panda
 pgp
 postmaster@
 rating@
 root@
 samples
 sopho
 spam
 support
 unix
 update
 winrar
 winzip
 

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

 
     * Delivery by mail
     * Delivery service mail
     * February price
     * Is delivered mail
     * price
     * Registration is accepted
     * You are made active
 

Текст письма:

Выбирается из списка:

     * Delivery by mail
     * Delivery service mail
     * February price
     * Is delivered mail
     * price
     * Registration is accepted
     * You are made active
 

Имя файла-вложения:

Выбирается из списка:

     * 21_price.zip
     * February_price.zip
     * guupd02.zip
     * Jol03.zip
     * new_price.zip
     * price.zip
     * pricelist.zip
     * pricelst.zip
     * siupd02.zip
     * upd02.zip
     * viupd02.zip
     * wsd01.zip
     * zupd02.zip
 

Архив содержит копию червя и бессмысленный текстовый файл.

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Shar» с именами выбираемыми из списка:

 
     * 1.exe
     * 2.exe
     * 3.exe
     * 4.exe
     * 5.scr
     * 6.exe
     * 7.exe
     * 8.exe
     * 9.exe
     * 10.exe
     * ACDSee 9.exe
     * Adobe Photoshop 9 full.exe
     * Ahead Nero 7.exe
     * Matrix 3 Revolution English Subtitles.exe
     * Opera 8 New!.exe
     * WinAmp 5 Pro Keygen Crack Update.exe
     * WinAmp 6 New!.exe
     * Windown Longhorn Beta Leak.exe
     * XXX hardcore images.exe
 

Прочее

Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Червь содержит следующие URL:

 
 http://www.alexandriaradiology.com
 http://www.algor.com
 http://www.belwue.de
 http://www.booksbyhunter.com
 http://www.campus-and-more.com
 http://www.capitalforex.com
 http://www.capitalspreadspromo.com
 http://www.casinobrillen.de
 http://www.casinofunnights.com
 http://www.cnsrvr.com
 http://www.coupdepinceau.com
 http://www.crazyiron.ru
 http://www.curious.be
 http://www.databoots.de
 http://www.digitalefoto.net
 http://www.duodaydream.nl
 http://www.ec.cox-wacotrib.com
 http://www.emarrynet.com
 http://www.erotologist.com
 http://www.eversetic.com
 http://www.ezybidz.com
 http://www.fachman.com
 http://www.finlaw.ru
 http://www.fitdina.com
 http://www.flashcardplayer.com
 http://www.flox-avant.ru
 http://www.forumgestionvilles.com
 http://www.gaspekas.com
 http://www.genesisfinancialonline.com
 http://www.georg-kuenzle.ch
 http://www.girardelli.com
 http://www.golden-gross.ru
 http://www.gregoryolson.com
 http://www.gtechna.com
 http://www.harmony-farms.net
 http://www.hftmusic.com
 http://www.hiwmreport.com
 http://www.horizonimagingllc.com
 http://www.hotelbus.de
 http://www.houstonzoo.org
 http://www.howiwinmoney.com
 http://www.iesgrantarajal.org
 http://www.ietcn.com
 http://www.import-world.com
 http://www.imspress.com
 http://www.internalcardreaders.com
 http://www.interorient.ru
 http://www.interstrom.ru
 http://www.iutoledo.org
 http://www.jackstitt.com
 http://www.josemarimuro.com
 http://www.kameo-bijux.ru
 http://www.karrad6000.ru
 http://www.kaztransformator.kz
 http://www.keywordthief.com
 http://www.kyno.cz
 http://www.lotslink.com
 http://www.lunardi.com
 http://www.lxlight.com
 http://www.newportsystemsusa.com
 http://www.njzt.net
 http://www.posteffects.com
 http://www.prineus.de
 http://www.provax.sk
 http://www.q-serwer.net
 http://www.rodoslovia.ru
 http://www.sgmisburg.de
 http://www.sorisem.net
 http://www.steintrade.net
 http://www.thetildegroup.com
 http://www.uni-esma.de
 http://www.varc.lv
 http://www.vybercz.cz
 http://www.wellness-i.com
 http://www.wena.net
 http://www.westcoastcadd.com
 http://www.wing49.cz
 http://www.wxcsxy.com
 http://www.yili-lighting.com
 http://www.zebrachina.net
 

Также червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

 alogserv.exe
 APVXDWIN.EXE
 ATUPDATER.EXE
 ATUPDATER.EXE
 AUPDATE.EXE
 AUTODOWN.EXE
 AUTOTRACE.EXE
 AUTOUPDATE.EXE
 Avconsol.exe
 AVENGINE.EXE
 AVPUPD.EXE
 Avsynmgr.exe
 AVWUPD32.EXE
 AVXQUAR.EXE
 AVXQUAR.EXE
 bawindo.exe
 blackd.exe
 ccApp.exe
 ccEvtMgr.exe
 ccProxy.exe
 ccPxySvc.exe
 CFIAUDIT.EXE
 DefWatch.exe
 DRWEBUPW.EXE
 ESCANH95.EXE
 ESCANHNT.EXE
 FIREWALL.EXE
 FrameworkService.exe
 ICSSUPPNT.EXE
 ICSUPP95.EXE
 LUALL.EXE
 LUCOMS~1.EXE
 mcagent.exe
 mcshield.exe
 MCUPDATE.EXE
 mcvsescn.exe
 mcvsrte.exe
 mcvsshld.exe
 navapsvc.exe
 navapsvc.exe
 navapsvc.exe
 navapw32.exe
 NISUM.EXE
 nopdb.exe
 NPROTECT.EXE
 NPROTECT.EXE
 NUPGRADE.EXE
 NUPGRADE.EXE
 OUTPOST.EXE
 PavFires.exe
 pavProxy.exe
 pavsrv50.exe
 Rtvscan.exe
 RuLaunch.exe
 SAVScan.exe
 SHSTAT.EXE
 SNDSrvc.exe
 symlcsvc.exe
 UPDATE.EXE
 UpdaterUI.exe
 Vshwin32.exe
 VsStat.exe
 VsTskMgr.exe
 

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 127.0.0.1 localhost
 127.0.0.1 ad.doubleclick.net
 127.0.0.1 ad.fastclick.net
 127.0.0.1 ads.fastclick.net
 127.0.0.1 ar.atwola.com
 127.0.0.1 atdmt.com
 127.0.0.1 avp.ch
 127.0.0.1 avp.com
 127.0.0.1 avp.ru
 127.0.0.1 awaps.net
 127.0.0.1 banner.fastclick.net
 127.0.0.1 banners.fastclick.net
 127.0.0.1 ca.com
 127.0.0.1 click.atdmt.com
 127.0.0.1 clicks.atdmt.com
 127.0.0.1 dispatch.mcafee.com
 127.0.0.1 download.mcafee.com
 127.0.0.1 download.microsoft.com
 127.0.0.1 downloads.microsoft.com
 127.0.0.1 engine.awaps.net
 127.0.0.1 fastclick.net
 127.0.0.1 f-secure.com
 127.0.0.1 ftp.f-secure.com
 127.0.0.1 ftp.sophos.com
 127.0.0.1 go.microsoft.com
 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 mast.mcafee.com
 127.0.0.1 mcafee.com
 127.0.0.1 media.fastclick.net
 127.0.0.1 msdn.microsoft.com
 127.0.0.1 my-etrust.com
 127.0.0.1 nai.com
 127.0.0.1 networkassociates.com
 127.0.0.1 office.microsoft.com
 127.0.0.1 phx.corporate-ir.net
 127.0.0.1 secure.nai.com
 127.0.0.1 securityresponse.symantec.com
 127.0.0.1 service1.symantec.com
 127.0.0.1 sophos.com
 127.0.0.1 spd.atdmt.com
 127.0.0.1 support.microsoft.com
 127.0.0.1 symantec.com
 127.0.0.1 update.symantec.com
 127.0.0.1 updates.symantec.com
 127.0.0.1 us.mcafee.com
 127.0.0.1 vil.nai.com
 127.0.0.1 viruslist.ru
 127.0.0.1 windowsupdate.microsoft.com
 127.0.0.1 www.avp.ch
 127.0.0.1 www.avp.com
 127.0.0.1 www.avp.ru
 127.0.0.1 www.awaps.net
 127.0.0.1 www.ca.com
 127.0.0.1 www.fastclick.net
 127.0.0.1 www.f-secure.com
 127.0.0.1 www.kaspersky.ru
 127.0.0.1 www.mcafee.com
 127.0.0.1 www.my-etrust.com
 127.0.0.1 www.nai.com
 127.0.0.1 www.networkassociates.com
 127.0.0.1 www.sophos.com
 127.0.0.1 www.symantec.com
 127.0.0.1 www.trendmicro.com
 127.0.0.1 www.viruslist.ru
 127.0.0.1 www3.ca.com
 

Также червь удаляет следующие записи в системном реестре:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "My AV"
  "ICQ Net"