Email-Worm.Win32.Bagle.ay
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Написан на языке C. Запакован исправленной версией PEX. Размер упакованного файла - 19КБ. Распакованного - около 69КБ.
Содержит защиту от повторных запусков, т.е. в системе всегда присутствует только один процесс активного червя. Для этого червем создается мьютекс "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D".
Удаляет следующие ключи из реестра:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] "My AV"
Инсталляция
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
После активизации копирует себя в системный каталог Windows под именами:
* sysformat.exe
* sysformat.exeopen
* sysformat.exeopenopen
Прописывает файл sysformat.exe в ключ автозапуска:
[...\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run]
Содержит функцию Trojan-Downloader - скачивает файл error.jpg с нескольких десятков адресов и устанавливает его в системный каталог Windows под именем re_file.exe.
Распространение через email
Червь ищет на диске файлы с расширениями из нижеприведенного списка и рассылает себя по найденным в них адресам электронной почты:
* adb
* asp
* cfg
* cgi
* dbx
* dhtm
* eml
* htm
* jsp
* mbx
* mdx
* mht
* mmf
* msg
* nch
* ods
* oft
* php
* pl
* sht
* shtm
* stm
* tbb
* txt
* uin
* wab
* wsh
* xls
* xml Червь проверяет каждый найденный электронный адрес на предмет наличия в нем подстрок:
* @avp.
* @foo
* @iana
* @messagelab
* @microsoft
* abuse
* admin
* anyone@
* bsd
* bugs@
* cafee
* certific
* contract@
* feste
* free-av
* f-secur
* gold-certs@
* google
* help@
* icrosoft
* info@
* kasp
* linux
* listserv
* local
* news
* nobody@
* noone@
* noreply
* ntivi
* panda
* pgp
* postmaster@
* rating@
* root@
* samples
* sopho
* spam
* support
* unix
* update
* winrar
* winzip
Если такая подстрока присутствует, то червь себя не отправляет по найденному адресу.
Для рассылки писем использует собственный SMTP-движок.
Характеристики зараженных писем
Пример зараженного письма
Заголовок письма:
Выбирается из следующих:
* Delivery service mail
* Delivery by mail
* Is delivered mail
* Registration is accepted
* You are made active Текст письма:
Выбирается из следующих:
* Before use read the help
* Thanks for use of our software. Имя вложения:
Выбирается из следующих:
* guupd02
* Jol03
* siupd02
* upd02
* viupd02
* wsd01
* zupd02 Размножение через файлообменные сети
Червь осуществляет поиск на диске каталогов, содержащих строку "shar". Если такие каталоги найдены, то в них червь выкладывает свое тело в файлы со следующими именами:
* 1.exe
* 10.exe
* 2.exe
* 3.exe
* 4.exe
* 5.scr
* 6.exe
* 7.exe
* 8.exe
* 9.exe
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Opera 8 New!.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* XXX hardcore images.exe Таким образом, он получает распространение через разделяемые ресурсы и P2P-сети.
Действие
При активизации червь уничтожает следующие процессы, осуществляющие персональную защиту компьютера и локальных подсетей:
* alogserv.exe
* APVXDWIN.EXE
* ATUPDATER.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* Avconsol.exe
* AVENGINE.EXE
* AVPUPD.EXE
* Avsynmgr.exe
* AVWUPD32.EXE
* AVXQUAR.EXE
* AVXQUAR.EXE
* bawindo.exe
* blackd.exe
* ccApp.exe
* ccEvtMgr.exe
* ccProxy.exe
* ccPxySvc.exe
* CFIAUDIT.EXE
* DefWatch.exe
* DRWEBUPW.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* FIREWALL.EXE
* FrameworkService.exe
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* LUALL.EXE
* LUCOMS~1.EXE
* mcagent.exe
* mcshield.exe
* MCUPDATE.EXE
* mcvsescn.exe
* mcvsrte.exe
* mcvsshld.exe
* navapsvc.exe
* navapsvc.exe
* navapsvc.exe
* navapw32.exe
* NISUM.EXE
* nopdb.exe
* NPROTECT.EXE
* NPROTECT.EXE
* NUPGRADE.EXE
* NUPGRADE.EXE
* OUTPOST.EXE
* PavFires.exe
* pavProxy.exe
* pavsrv50.exe
* Rtvscan.exe
* RuLaunch.exe
* SAVScan.exe
* SHSTAT.EXE
* SNDSrvc.exe
* symlcsvc.exe
* UPDATE.EXE
* UpdaterUI.exe
* Vshwin32.exe
* VsStat.exe
* VsTskMgr.exe