Вариант червя Bagle, в котором отсутствует функция саморазмножения.
Червь представляет собой PE EXE-файл. Размер в пакованом виде составляет 36352 байта.
Инсталляция
После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).
При инсталляции червь копирует себя в системный каталог Windows с именем winshost.exe:
%System%\winshost.exe
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winshost.exe"="%System%\winshost.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также в системном каталоге Windows червь создает файл с именем wiwshost.exe (9216 байт):
%System%\wiwshost.exe
Распространение
Данная модификация червя самостоятельно не размножается. Она была разослана при помощи спам-рассылки. Как правило, зараженные письма имеют пустое поле темы и не имеют тела письма.
Деструктивная активность
Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.
С целью блокирования запуска антивирусов и межсетевых экранов червь удаляет следующие ключи реестра:
[HKLM\SOFTWARE\Agnitum] [HKLM\SOFTWARE\KasperskyLab] [HKLM\SOFTWARE\McAfee] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client] [HKLM\SOFTWARE\Panda Software] [HKLM\SOFTWARE\Symantec] [HKLM\SOFTWARE\Zone Labs]
Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.
Червь изменяет файл %System%\drivers\etc\hosts, оставляя в нем только следующую запись:
127.0.0.1 localhost
Другие названия
Email-Worm.Win32.Bagle.ch («Лаборатория Касперского») также известен как: W32/Bagle.dldr.gen (McAfee), BehavesLike:Win32.ExplorerHijack (SOFTWIN), Worm.Bagle.BB-gen (ClamAV), Suspect File (Panda), Win32/Bagle.BI (Eset)