Email-Worm.Win32.Bagle.ax
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл, размером от 19КБ и более.
Инсталляция
После запуска червь копирует себя в системный каталог Windows со следующими именами:
* %System%\sysformat.exe
* %System%\sysformat.exeopen
* %System%\sysformat.exeopenopen Затем регистрирует себя в ключе автозапуска системного реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run] "Sysformat"="%System%\sysformat.exe"
Распространение через email
Червь ищет на диске файлы с расширениями:
* adb
* asp
* cfg
* cgi
* dbx
* dhtm
* eml
* htm
* jsp
* mbx
* mdx
* mht
* mmf
* msg
* nch
* ods
* oft
* php
* pl
* sht
* shtm
* stm
* tbb
* txt
* uin
* wab
* wsh
* xls
* xml
После чего рассылает себя по всем найденным в них адресам электронной почты.
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Игнорируется отправка писем на адреса, содержащие строки:
* @avp
* @foo
* @iana
* @messagelab
* @microsoft
* abuse
* admin
* anyone@
* bsd
* bugs@
* cafee
* certific
* contract@
* feste
* free-av
* f-secur
* gold-certs@
* google
* help@
* icrosoft
* info@
* kasp
* linux
* listserv
* local
* news
* nobody@
* noone@
* noreply
* ntivi
* panda
* pgp
* postmaster@
* rating@
* root@
* samples
* sopho
* spam
* support
* unix
* update
* winrar
* winzip Характеристики зараженных писем
Тема письма:
Выбирается из списка:
* Delivery by mail
* Delivery service mail
* Is delivered mail
* Registration is accepted
* You are made active Текст письма:
Выбирается из списка:
* Before use read the help
* Thanks for use of our software. Имя файла-вложения:
Выбирается из списка:
<p>
* guupd02
* Jol03
* siupd02
* upd02
* viupd02
* wsd01
* zupd02 Вложения могут иметь одно из расширений:
* com
* cpl
* exe
* scr Распространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии строку "Share" с именами, выбираемыми из списка:
* 1.exe
* 10.exe
* 2.exe
* 3.exe
* 4.exe
* 5.scr
* 6.exe
* 7.exe
* 8.exe
* 9.exe
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Opera 8 New!.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* XXX hardcore images.exe Прочее
Email-Worm.Win32.Bagle.ax пытается выгрузить из системы различные процессы, в именах которых содержатся следующие строки:
* alogserv.exe
* APVXDWIN.EXE
* ATUPDATER.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* Avconsol.exe
* AVENGINE.EXE
* AVPUPD.EXE
* Avsynmgr.exe
* AVWUPD32.EXE
* AVXQUAR.EXE
* AVXQUAR.EXE
* bawindo.exe
* blackd.exe
* ccApp.exe
* ccEvtMgr.exe
* ccProxy.exe
* ccPxySvc.exe
* CFIAUDIT.EXE
* DefWatch.exe
* DRWEBUPW.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* FIREWALL.EXE
* FrameworkService.exe
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* LUALL.EXE
* LUCOMS~1.EXE
* mcagent.exe
* mcshield.exe
* MCUPDATE.EXE
* mcvsescn.exe
* mcvsrte.exe
* mcvsshld.exe
* navapsvc.exe
* navapsvc.exe
* navapsvc.exe
* navapw32.exe
* NISUM.EXE
* nopdb.exe
* NPROTECT.EXE
* NPROTECT.EXE
* NUPGRADE.EXE
* NUPGRADE.EXE
* OUTPOST.EXE
* PavFires.exe
* pavProxy.exe
* pavsrv50.exe
* Rtvscan.exe
* RuLaunch.exe
* SAVScan.exe
* SHSTAT.EXE
* SNDSrvc.exe
* symlcsvc.exe
* UPDATE.EXE
* UpdaterUI.exe
* Vshwin32.exe
* VsStat.exe
* VsTskMgr.exe