Email-Worm.Win32.Bagle.cl
Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако все прочие функции полностью соответствуют червям семейства Bagle. Был разослан при помощи спам-рассылки.
Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако все прочие функции полностью соответствуют червям семейства Bagle. Был разослан при помощи спам-рассылки.
Червь представляет собой PE EXE-файл. Размер в упакованном виде составляет 36864 байта.
Инсталляция
После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).
При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:
%System%\winshost.exe %System%\wiwshost.exe
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winshost.exe"="%System%\winshost.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Распространение
Данная модификация червя самостоятельно не размножается. Она была разослана при помощи спам-рассылки. Как правило, зараженные письма имеют пустое поле темы и не имеют тела письма.
Действие
Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.
С целью блокирования запуска антивирусов и межсетевых экранов червь удаляет следующие ключи реестра:
[HKLM\SOFTWARE\Agnitum] [HKLM\SOFTWARE\KasperskyLab] [HKLM\SOFTWARE\McAfee] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client] [HKLM\SOFTWARE\Panda Software] [HKLM\SOFTWARE\Symantec] [HKLM\SOFTWARE\Zone Labs]
Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.
Bagle.cl изменяет файл %System%\drivers\etc\hosts, оставляя в нем только следующую запись:
127.0.0.1 localhost