Security Lab

Email-Worm.Win32. Bagle.fj

Email-Worm.Win32. Bagle.fj

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Размер зараженного файла варьируется в пределах от 16 до 21 КБ.

Инсталляция

После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции червь копирует себя в системный каталог Windows с именем sysformat.exe:

%System%\sysformat.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "sysformat" = "%System%\sysformat.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующий ключ системного реестра с целью блокировки сервиса файервола в Windows XP:

  
  [HKLM\System\CurrentControlSet\Services\SharedAccess]
   "Start"="4"
  

Также червь добавляет следующую запись в системный реестр в качестве идентификатора зражения системы:

  
  [HKCU\Software\Microsoft\Params]
   "FirstRun"="01"
  

Распространение через email

Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.

  adb
  asp
  cfg
  cgi
  dbx
  dhtm
  eml
  htm
  jsp
  mbx
  mdx
  mht
  mmf
  msg
  nch
  ods
  oft
  php
  pl
  sht
  shtm
  stm
  tbb
  txt
  uin
  wab
  wsh
  xls
  xml
  

Для отправки почты червь пытается осуществить прямое подключение к SMTP-серверам.

Игнорируется отправка писем на адреса, содержащие следующие строки:

  @avp.
  @foo
  @iana
  @messagelab
  @microsoft
  abuse
  admin
  anyone@
  bsd
  bugs@
  cafee
  certific
  contract@
  feste
  free-av
  f-secur
  gold-certs@
  google
  help@
  icrosoft
  info@
  kasp
  linux
  listserv
  local
  news
  nobody@
  noone@
  noreply
  ntivi
  panda
  pgp
  postmaster@
  rating@
  root@
  samples
  sopho
  spam
  support
  unix
  update
  winrar
  winzip
  

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

 
      * Delivery by mail
      * Delivery service mail
      * February price
      * Is delivered mail
      * price
      * Registration is accepted
      * You are made active
  

Текст письма:

Выбирается из списка:

      * Delivery by mail
      * Delivery service mail
      * February price
      * Is delivered mail
      * price
      * Registration is accepted
      * You are made active
  

Имя файла-вложения:

Выбирается из списка:

      * 21_price.zip
      * February_price.zip
      * guupd02.zip
      * Jol03.zip
      * new_price.zip
      * price.zip
      * pricelist.zip
      * pricelst.zip
      * siupd02.zip
      * upd02.zip
      * viupd02.zip
      * wsd01.zip
      * zupd02.zip
  

Архив содержит копию червя и бессмысленный текстовый файл.

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Shar» с именами выбираемыми из списка:

  
      * 1.exe
      * 2.exe
      * 3.exe
      * 4.exe
      * 5.scr
      * 6.exe
      * 7.exe
      * 8.exe
      * 9.exe
      * 10.exe
      * ACDSee 9.exe
      * Adobe Photoshop 9 full.exe
      * Ahead Nero 7.exe
      * Matrix 3 Revolution English Subtitles.exe
      * Opera 8 New!.exe
      * WinAmp 5 Pro Keygen Crack Update.exe
      * WinAmp 6 New!.exe
      * Windown Longhorn Beta Leak.exe
      * XXX hardcore images.exe
  

Прочее

Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Червь содержит следующие URL:

  
  http://www.alexandriaradiology.com
  http://www.algor.com
  http://www.belwue.de
  http://www.booksbyhunter.com
  http://www.campus-and-more.com
  http://www.capitalforex.com
  http://www.capitalspreadspromo.com
  http://www.casinobrillen.de
  http://www.casinofunnights.com
  http://www.cnsrvr.com
  http://www.coupdepinceau.com
  http://www.crazyiron.ru
  http://www.curious.be
  http://www.databoots.de
  http://www.digitalefoto.net
  http://www.duodaydream.nl
  http://www.ec.cox-wacotrib.com
  http://www.emarrynet.com
  http://www.erotologist.com
  http://www.eversetic.com
  http://www.ezybidz.com
  http://www.fachman.com
  http://www.finlaw.ru
  http://www.fitdina.com
  http://www.flashcardplayer.com
  http://www.flox-avant.ru
  http://www.forumgestionvilles.com
  http://www.gaspekas.com
  http://www.genesisfinancialonline.com
  http://www.georg-kuenzle.ch
  http://www.girardelli.com
  http://www.golden-gross.ru
  http://www.gregoryolson.com
  http://www.gtechna.com
  http://www.harmony-farms.net
  http://www.hftmusic.com
  http://www.hiwmreport.com
  http://www.horizonimagingllc.com
  http://www.hotelbus.de
  http://www.houstonzoo.org
  http://www.howiwinmoney.com
  http://www.iesgrantarajal.org
  http://www.ietcn.com
  http://www.import-world.com
  http://www.imspress.com
  http://www.internalcardreaders.com
  http://www.interorient.ru
  http://www.interstrom.ru
  http://www.iutoledo.org
  http://www.jackstitt.com
  http://www.josemarimuro.com
  http://www.kameo-bijux.ru
  http://www.karrad6000.ru
  http://www.kaztransformator.kz
  http://www.keywordthief.com
  http://www.kyno.cz
  http://www.lotslink.com
  http://www.lunardi.com
  http://www.lxlight.com
  http://www.newportsystemsusa.com
  http://www.njzt.net
  http://www.posteffects.com
  http://www.prineus.de
  http://www.provax.sk
  http://www.q-serwer.net
  http://www.rodoslovia.ru
  http://www.sgmisburg.de
  http://www.sorisem.net
  http://www.steintrade.net
  http://www.thetildegroup.com
  http://www.uni-esma.de
  http://www.varc.lv
  http://www.vybercz.cz
  http://www.wellness-i.com
  http://www.wena.net
  http://www.westcoastcadd.com
  http://www.wing49.cz
  http://www.wxcsxy.com
  http://www.yili-lighting.com
  http://www.zebrachina.net
  

Также червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

  alogserv.exe
  APVXDWIN.EXE
  ATUPDATER.EXE
  ATUPDATER.EXE
  AUPDATE.EXE
  AUTODOWN.EXE
  AUTOTRACE.EXE
  AUTOUPDATE.EXE
  Avconsol.exe
  AVENGINE.EXE
  AVPUPD.EXE
  Avsynmgr.exe
  AVWUPD32.EXE
  AVXQUAR.EXE
  AVXQUAR.EXE
  bawindo.exe
  blackd.exe
  ccApp.exe
  ccEvtMgr.exe
  ccProxy.exe
  ccPxySvc.exe
  CFIAUDIT.EXE
  DefWatch.exe
  DRWEBUPW.EXE
  ESCANH95.EXE
  ESCANHNT.EXE
  FIREWALL.EXE
  FrameworkService.exe
  ICSSUPPNT.EXE
  ICSUPP95.EXE
  LUALL.EXE
  LUCOMS~1.EXE
  mcagent.exe
  mcshield.exe
  MCUPDATE.EXE
  mcvsescn.exe
  mcvsrte.exe
  mcvsshld.exe
  navapsvc.exe
  navapsvc.exe
  navapsvc.exe
  navapw32.exe
  NISUM.EXE
  nopdb.exe
  NPROTECT.EXE
  NPROTECT.EXE
  NUPGRADE.EXE
  NUPGRADE.EXE
  OUTPOST.EXE
  PavFires.exe
  pavProxy.exe
  pavsrv50.exe
  Rtvscan.exe
  RuLaunch.exe
  SAVScan.exe
  SHSTAT.EXE
  SNDSrvc.exe
  symlcsvc.exe
  UPDATE.EXE
  UpdaterUI.exe
  Vshwin32.exe
  VsStat.exe
  VsTskMgr.exe
  

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

  127.0.0.1 localhost
  127.0.0.1 ad.doubleclick.net
  127.0.0.1 ad.fastclick.net
  127.0.0.1 ads.fastclick.net
  127.0.0.1 ar.atwola.com
  127.0.0.1 atdmt.com
  127.0.0.1 avp.ch
  127.0.0.1 avp.com
  127.0.0.1 avp.ru
  127.0.0.1 awaps.net
  127.0.0.1 banner.fastclick.net
  127.0.0.1 banners.fastclick.net
  127.0.0.1 ca.com
  127.0.0.1 click.atdmt.com
  127.0.0.1 clicks.atdmt.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 download.microsoft.com
  127.0.0.1 downloads.microsoft.com
  127.0.0.1 engine.awaps.net
  127.0.0.1 fastclick.net
  127.0.0.1 f-secure.com
  127.0.0.1 ftp.f-secure.com
  127.0.0.1 ftp.sophos.com
  127.0.0.1 go.microsoft.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 media.fastclick.net
  127.0.0.1 msdn.microsoft.com
  127.0.0.1 my-etrust.com
  127.0.0.1 nai.com
  127.0.0.1 networkassociates.com
  127.0.0.1 office.microsoft.com
  127.0.0.1 phx.corporate-ir.net
  127.0.0.1 secure.nai.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 service1.symantec.com
  127.0.0.1 sophos.com
  127.0.0.1 spd.atdmt.com
  127.0.0.1 support.microsoft.com
  127.0.0.1 symantec.com
  127.0.0.1 update.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 vil.nai.com
  127.0.0.1 viruslist.ru
  127.0.0.1 windowsupdate.microsoft.com
  127.0.0.1 www.avp.ch
  127.0.0.1 www.avp.com
  127.0.0.1 www.avp.ru
  127.0.0.1 www.awaps.net
  127.0.0.1 www.ca.com
  127.0.0.1 www.fastclick.net
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.kaspersky.ru
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 www.nai.com
  127.0.0.1 www.networkassociates.com
  127.0.0.1 www.sophos.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.viruslist.ru
  127.0.0.1 www3.ca.com
  

Также червь удаляет следующие записи в системном реестре:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "My AV"
   "ICQ Net"

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться