Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.
Червь представляет собой PE EXE-файл размером около 21 КБ. Упакован FSG. Размер распакованного файла — около 82 КБ.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем winhost.exe:
%System%\winhost.exe
Затем регистрирует себя в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "winhost.exe"="%System%\winhost.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Распространение через email
Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
adb asp cfg dbx dhtm eml htm html jsp mbx mdx mht mmf msg nch ods oft php sht shtm shtml stm tbb txt uin wab wsh xls xml
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Игнорируется отправка писем на адреса, содержащие строки:
@avp. @foo @hotmail.com @iana @messagelab @microsoft @msn.com abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples shar sopho spam support unix update winrar winzip
Характеристики зараженных писем
Тема письма:
Выбирается из списка:
* Changes.. * Encrypted document * Fax Message * Forum notify * Incoming message * Notification * Protected message * Re: * Re: Document * Re: Hello * Re: Hi * Re: Incoming Message * RE: Incoming Msg * RE: Message Notify * Re: Msg reply * RE: Protected message * RE: Text message * Re: Thank you! * Re: Thanks :) * Re: Yahoo! * Site changes * Update
Текст письма:
Выбирается из списка:
* Attach tells everything. * Attached file tells everything. * Check attached file for details. * Check attached file. * Here is the file. * Message is in attach * More info is in attach * Pay attention at the attach. * Please, have a look at the attached file. * Please, read the document. * Read the attach. * See attach. * See the attached file for details. * Try this. * Your document is attached. * Your file is attached.
Подпись к письму:
В том случае, если зараженное письмо содержит вложенный файл в архиве, то к телу письма прикрепляется подпись, выбранная из следующего списка:
* Archive password: <картинка с паролем> * Attached file is protected with the password for security reasons. Password is <картинка с паролем> * For security purposes the attached file is password protected. Password -- <картинка с паролем> * For security reasons attached file is password protected. The password is <картинка с паролем> * In order to read the attach you have to use the following password: <картинка с паролем> * Note: Use password <картинка с паролем> to open archive. * Password - <картинка с паролем> * Password: <картинка с паролем>
Имя файла-вложения:
Выбирается из списка:
* Details.exe * Document.exe * Info.exe * Information.exe * Message.exe * MoreInfo.exe * Readme.exe * Sources.exe * text_document.exe * Updates.exe
Также во вложении может содержаться запароленный zip-архив. В данном случае пароль для распаковки архива будет указан в теле письма.
Распространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Shar» с именами выбираемыми из списка:
* 12 year old Katia sucks and fucks me in lots of positions. (teen preteen anal cumshot sex young whore school lolita.avi <много пробелов> .exe * Adobe Photoshop 9 full.exe * Ahead Nero 7.exe * Doom3_nocd.exe * HalfLife2_noCD.exe * Kaspersky Antivirus 5.0 * KAV 5.0 * Lolita porn.avi <много пробелов> .exe * Matrix 3 Revolution English Subtitles.exe * Microsoft Office 2003 Crack, Working!.exe * Microsoft Office XP working Crack, Keygen.exe * Microsoft Windows XP, WinXP Crack, working Keygen.exe * Norton Antivirus, working Keygen.exe * nude lolita.jpg <много пробелов> .exe * Opera 8 New!.exe * Porno pics arhive, xxx.exe * Porno Screensaver.scr * Porno, sex, oral, anal cool, awesome!!.exe * Serials.txt.exe * WinAmp 5 Pro Keygen Crack Update.exe * WinAmp 6 New!.exe * Windown Longhorn Beta Leak.exe * Windows Sourcecode update.doc.exe * XXX hardcore images.exe
Удаленное администрирование
Червь открывает и затем отслеживает TCP-порт 9035 для приема команд от злоумышленника.
Прочее
Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Червь содержит следующие URL:
http://***hiphops.com http://***omy.ru/_old_img http://***yforum.ru http://64.***.44.10 http://64.12.***.12 http://68.**.54.122 http://b***g.org http://block***.net/img http://motiveth***.com/img http://nine-***-one.ca/images http://res***.com http://talen***.com/img http://tovar***.net http://www.***creations.com/img http://www.***dgoods.com/img http://www.ladyw***s.com http://zal***.net
Также Bagle.dx пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
AGENTSVR.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVGSERV9.EXE AVLTMAIN.EXE AVprotect9x.exe AVPUPD.EXE AVSYNMGR.EXE AVWUPD32.EXE AVXQUAR.EXE BD_PROFESSIONAL.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BOOTWARN.EXE BORG2.EXE BS120.EXE ccApp.exe ccEvtMgr.exe CDP.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFINET.EXE CFINET.EXE CFINET32.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLEANPC.EXE CMGRDIAN.EXE CMGRDIAN.EXE CMON016.EXE CMON016.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CWNB181.EXE CWNTDWMO.EXE DEFWATCH.EXE DEPUTY.EXE DPF.EXE DPFSETUP.EXE DRWATSON.EXE DRWEBUPW.EXE ENT.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE EXANTIVIRUS-CNET.EXE FAST.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FP-WIN_TRIAL.EXE FRW.EXE FSAV.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE GBMENU.EXE GBPOLL.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HTLOG.EXE HWPE.EXE IAMAPP.EXE IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFW2000.EXE IPARMOR.EXE IRIS.EXE JAMMER.EXE KAVLITE40ENG.EXE KAVPERS40ENG.EXE KERIO-PF-213-EN-WIN.EXE KERIO-WRL-421-EN-WIN.EXE KERIO-WRP-421-EN-WIN.EXE KILLPROCESSSETUP161.EXE LDPRO.EXE LOCALNET.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LSETUP.EXE LUALL.EXE LUCOMSERVER.EXE LUINIT.EXE MCAGENT.EXE MCUPDATE.EXE MCUPDATE.EXE MFW2EN.EXE MFWENG3.02D30.EXE MGUI.EXE MINILOG.EXE MOOLIVE.EXE MRFLUX.EXE MSCONFIG.EXE MSINFO32.EXE MSSMMC32.EXE MU0311AD.EXE NAV80TRY.EXE navapsvc.exe NAVAPW32.EXE NAVDX.EXE NavShExt.dll NAVSTUB.EXE NAVW32.EXE NC2000.EXE NCINST4.EXE NDD32.EXE NEOMONITOR.EXE NETARMOR.EXE NETINFO.EXE NETMON.EXE NETSCANPRO.EXE NETSPYHUNTER-1.2.EXE NETSTAT.EXE NISSERV.EXE NMAIN.EXE NORTON_INTERNET_SECU_3.0_407.EXE NPF40_TW_98_NT_ME_2K.EXE NPFMESSENGER.EXE NPROTECT.EXE NPROTECT.EXE NSCHED32.EXE NTVDM.EXE NUPGRADE.EXE NVARCH16.EXE NWINST4.EXE NWTOOL16.EXE OSTRONET.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE PADMIN.EXE PANIXK.EXE PAVPROXY.EXE PCC2002S902.EXE PCC2K_76_1436.EXE PCCIOMON.EXE PCDSETUP.EXE PCFWALLICON.EXE PCFWALLICON.EXE PCIP10117_0.EXE PDSETUP.EXE PERISCOPE.EXE PERSFW.EXE PF2.EXE PFWADMIN.EXE PINGSCAN.EXE PLATIN.EXE POPROXY.EXE POPSCAN.EXE PORTDETECTIVE.EXE PPINUPDT.EXE PPTBC.EXE PPVSTOP.EXE PROCEXPLORERV1.0.EXE PROPORT.EXE PROTECTX.EXE PSPF.EXE QCONSOLE.EXE QSERVER.EXE REGEDIT.EXE REGEDT32.EXE RESCUE.EXE RESCUE32.EXE RRGUARD.EXE RSHELL.EXE RULAUNCH.EXE SAFEWEB.EXE SAVSCAN.EXE SBSERV.EXE SETUP_FLOWPROTECTOR_US.EXE SETUPVAMEEVAL.EXE SFC.EXE SGSSFW32.EXE SHELLSPYINSTALL.EXE SymWSC.exe SYSEDIT.EXE TAUMON.EXE TAUSCAN.EXE TRACERT.EXE TRJSCAN.EXE TRJSETUP.EXE TROJANTRAP3.EXE UNDOBOOT.EXE UPDATE.EXE VBCMSERV.EXE VBCONS.EXE VBUST.EXE VIRUSMDPERSONALFIREWALL.EXE W32DSM89.EXE WATCHDOG.EXE WEBSCANX.EXE WHOSWATCHINGME.EXE WINRECON.EXE WNT.EXE WRADMIN.EXE WRCTRL.EXE WSBGATE.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZONALM2601.EXE ZONEALARM.EXE
На перекрестке науки и фантазии — наш канал