Security Lab

Email-Worm.Win32.Bagle.ax

Email-Worm.Win32.Bagle.ax

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Email-Worm.Win32.Bagle.ax («Лаборатория Касперского») также известен как: W32.Beagle.AY@mm (Symantec), Win32.HLLM.Beagle.18336 (Doctor Web), W32/Bagle-AY (Sophos), Win32/Balge.AY@mm (RAV), WORM_BAGLE.AY (Trend Micro), Worm/Bagle.AX.var (H+BEDV), W32/Bagle.BB@mm (FRISK), I-Worm/Bagle.BB (Grisoft), Win32.Bagle.AW@mm (SOFTWIN), Trojan.Downloader.Small-165 (ClamAV), W32/Bagle.BK.worm (Panda), Win32/Bagle.AW (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером от 19КБ и более.

Инсталляция

После запуска червь копирует себя в системный каталог Windows со следующими именами:

  
      * %System%\sysformat.exe
      * %System%\sysformat.exeopen
      * %System%\sysformat.exeopenopen 

Затем регистрирует себя в ключе автозапуска системного реестра:

  
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "Sysformat"="%System%\sysformat.exe"

Распространение через email

Червь ищет на диске файлы с расширениями:

  
      * adb
      * asp
      * cfg
      * cgi
      * dbx
      * dhtm
      * eml
      * htm
      * jsp
      * mbx 
  
  	
  
      * mdx
      * mht
      * mmf
      * msg
      * nch
      * ods
      * oft
      * php
      * pl
      * sht 
  
  	
  
      * shtm
      * stm
      * tbb
      * txt
      * uin
      * wab
      * wsh
      * xls
      * xml 
  

После чего рассылает себя по всем найденным в них адресам электронной почты.

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

  
      * @avp
      * @foo
      * @iana
      * @messagelab
      * @microsoft
      * abuse
      * admin
      * anyone@
      * bsd
      * bugs@
      * cafee
      * certific
      * contract@
      * feste
      * free-av 
  
  	
  
      * f-secur
      * gold-certs@
      * google
      * help@
      * icrosoft
      * info@
      * kasp
      * linux
      * listserv
      * local
      * news
      * nobody@
      * noone@
      * noreply
      * ntivi 
  
  	
  
      * panda
      * pgp
      * postmaster@
      * rating@
      * root@
      * samples
      * sopho
      * spam
      * support
      * unix
      * update
      * winrar
      * winzip 

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

  
      * Delivery by mail
      * Delivery service mail
      * Is delivered mail
      * Registration is accepted
      * You are made active 

Текст письма:

Выбирается из списка:

  
      * Before use read the help
      * Thanks for use of our software. 

Имя файла-вложения:

Выбирается из списка:

  <p>
  
  
      * guupd02
      * Jol03
      * siupd02
      * upd02
      * viupd02
      * wsd01
      * zupd02 

Вложения могут иметь одно из расширений:

  
      * com
      * cpl
      * exe
      * scr 

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии строку "Share" с именами, выбираемыми из списка:

  
      * 1.exe
      * 10.exe
      * 2.exe
      * 3.exe
      * 4.exe
      * 5.scr
      * 6.exe
      * 7.exe
      * 8.exe
      * 9.exe
      * ACDSee 9.exe
      * Adobe Photoshop 9 full.exe
      * Ahead Nero 7.exe
      * Matrix 3 Revolution English Subtitles.exe
      * Opera 8 New!.exe
      * WinAmp 5 Pro Keygen Crack Update.exe
      * WinAmp 6 New!.exe
      * Windown Longhorn Beta Leak.exe
      * XXX hardcore images.exe 

Прочее

Email-Worm.Win32.Bagle.ax пытается выгрузить из системы различные процессы, в именах которых содержатся следующие строки:

  
      * alogserv.exe
      * APVXDWIN.EXE
      * ATUPDATER.EXE
      * ATUPDATER.EXE
      * AUPDATE.EXE
      * AUTODOWN.EXE
      * AUTOTRACE.EXE
      * AUTOUPDATE.EXE
      * Avconsol.exe
      * AVENGINE.EXE
      * AVPUPD.EXE
      * Avsynmgr.exe
      * AVWUPD32.EXE
      * AVXQUAR.EXE
      * AVXQUAR.EXE
      * bawindo.exe
      * blackd.exe
      * ccApp.exe
      * ccEvtMgr.exe
      * ccProxy.exe
      * ccPxySvc.exe 
  
  	
  
      * CFIAUDIT.EXE
      * DefWatch.exe
      * DRWEBUPW.EXE
      * ESCANH95.EXE
      * ESCANHNT.EXE
      * FIREWALL.EXE
      * FrameworkService.exe
      * ICSSUPPNT.EXE
      * ICSUPP95.EXE
      * LUALL.EXE
      * LUCOMS~1.EXE
      * mcagent.exe
      * mcshield.exe
      * MCUPDATE.EXE
      * mcvsescn.exe
      * mcvsrte.exe
      * mcvsshld.exe
      * navapsvc.exe
      * navapsvc.exe
      * navapsvc.exe
      * navapw32.exe 
  
  	
  
      * NISUM.EXE
      * nopdb.exe
      * NPROTECT.EXE
      * NPROTECT.EXE
      * NUPGRADE.EXE
      * NUPGRADE.EXE
      * OUTPOST.EXE
      * PavFires.exe
      * pavProxy.exe
      * pavsrv50.exe
      * Rtvscan.exe
      * RuLaunch.exe
      * SAVScan.exe
      * SHSTAT.EXE
      * SNDSrvc.exe
      * symlcsvc.exe
      * UPDATE.EXE
      * UpdaterUI.exe
      * Vshwin32.exe
      * VsStat.exe
      * VsTskMgr.exe 

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!