Security Lab

Email-Worm.Win32.Bagle.ch

Email-Worm.Win32.Bagle.ch

Вариант червя Bagle, в котором отсутствует функция саморазмножения.

Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако все прочие функции полностью соответствуют червям семейства Bagle. Он был разослан при помощи спам-рассылки.

Червь представляет собой PE EXE-файл. Размер в пакованом виде составляет 36352 байта.

Инсталляция

После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции червь копирует себя в системный каталог Windows с именем winshost.exe:

  %System%\winshost.exe
  

Затем червь регистрирует себя в ключах автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "winshost.exe"="%System%\winshost.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также в системном каталоге Windows червь создает файл с именем wiwshost.exe (9216 байт):

%System%\wiwshost.exe

Распространение

Данная модификация червя самостоятельно не размножается. Она была разослана при помощи спам-рассылки. Как правило, зараженные письма имеют пустое поле темы и не имеют тела письма.

Деструктивная активность

Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.

С целью блокирования запуска антивирусов и межсетевых экранов червь удаляет следующие ключи реестра:

  [HKLM\SOFTWARE\Agnitum]
  [HKLM\SOFTWARE\KasperskyLab]
  [HKLM\SOFTWARE\McAfee]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client]
  [HKLM\SOFTWARE\Panda Software]
  [HKLM\SOFTWARE\Symantec]
  [HKLM\SOFTWARE\Zone Labs]
  

Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Червь изменяет файл %System%\drivers\etc\hosts, оставляя в нем только следующую запись:

127.0.0.1 localhost

Другие названия

Email-Worm.Win32.Bagle.ch («Лаборатория Касперского») также известен как: W32/Bagle.dldr.gen (McAfee), BehavesLike:Win32.ExplorerHijack (SOFTWIN), Worm.Bagle.BB-gen (ClamAV), Suspect File (Panda), Win32/Bagle.BI (Eset)

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!