Email-Worm.Win32. Bagle.fj
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.
Червь представляет собой PE EXE-файл. Размер зараженного файла варьируется в пределах от 16 до 21 КБ.
Инсталляция
После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).
При инсталляции червь копирует себя в системный каталог Windows с именем sysformat.exe:
%System%\sysformat.exe
Затем регистрирует себя в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "sysformat" = "%System%\sysformat.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующий ключ системного реестра с целью блокировки сервиса файервола в Windows XP:
[HKLM\System\CurrentControlSet\Services\SharedAccess] "Start"="4"
Также червь добавляет следующую запись в системный реестр в качестве идентификатора зражения системы:
[HKCU\Software\Microsoft\Params] "FirstRun"="01"
Распространение через email
Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
adb asp cfg cgi dbx dhtm eml htm jsp mbx mdx mht mmf msg nch ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml
Для отправки почты червь пытается осуществить прямое подключение к SMTP-серверам.
Игнорируется отправка писем на адреса, содержащие следующие строки:
@avp. @foo @iana @messagelab @microsoft abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip
Характеристики зараженных писем
Тема письма:
Выбирается из списка:
* Delivery by mail
* Delivery service mail
* February price
* Is delivered mail
* price
* Registration is accepted
* You are made active
Текст письма:
Выбирается из списка:
* Delivery by mail
* Delivery service mail
* February price
* Is delivered mail
* price
* Registration is accepted
* You are made active
Имя файла-вложения:
Выбирается из списка:
* 21_price.zip
* February_price.zip
* guupd02.zip
* Jol03.zip
* new_price.zip
* price.zip
* pricelist.zip
* pricelst.zip
* siupd02.zip
* upd02.zip
* viupd02.zip
* wsd01.zip
* zupd02.zip
Архив содержит копию червя и бессмысленный текстовый файл.
Распространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Shar» с именами выбираемыми из списка:
* 1.exe
* 2.exe
* 3.exe
* 4.exe
* 5.scr
* 6.exe
* 7.exe
* 8.exe
* 9.exe
* 10.exe
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Opera 8 New!.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* XXX hardcore images.exe
Прочее
Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Червь содержит следующие URL:
http://www.alexandriaradiology.com http://www.algor.com http://www.belwue.de http://www.booksbyhunter.com http://www.campus-and-more.com http://www.capitalforex.com http://www.capitalspreadspromo.com http://www.casinobrillen.de http://www.casinofunnights.com http://www.cnsrvr.com http://www.coupdepinceau.com http://www.crazyiron.ru http://www.curious.be http://www.databoots.de http://www.digitalefoto.net http://www.duodaydream.nl http://www.ec.cox-wacotrib.com http://www.emarrynet.com http://www.erotologist.com http://www.eversetic.com http://www.ezybidz.com http://www.fachman.com http://www.finlaw.ru http://www.fitdina.com http://www.flashcardplayer.com http://www.flox-avant.ru http://www.forumgestionvilles.com http://www.gaspekas.com http://www.genesisfinancialonline.com http://www.georg-kuenzle.ch http://www.girardelli.com http://www.golden-gross.ru http://www.gregoryolson.com http://www.gtechna.com http://www.harmony-farms.net http://www.hftmusic.com http://www.hiwmreport.com http://www.horizonimagingllc.com http://www.hotelbus.de http://www.houstonzoo.org http://www.howiwinmoney.com http://www.iesgrantarajal.org http://www.ietcn.com http://www.import-world.com http://www.imspress.com http://www.internalcardreaders.com http://www.interorient.ru http://www.interstrom.ru http://www.iutoledo.org http://www.jackstitt.com http://www.josemarimuro.com http://www.kameo-bijux.ru http://www.karrad6000.ru http://www.kaztransformator.kz http://www.keywordthief.com http://www.kyno.cz http://www.lotslink.com http://www.lunardi.com http://www.lxlight.com http://www.newportsystemsusa.com http://www.njzt.net http://www.posteffects.com http://www.prineus.de http://www.provax.sk http://www.q-serwer.net http://www.rodoslovia.ru http://www.sgmisburg.de http://www.sorisem.net http://www.steintrade.net http://www.thetildegroup.com http://www.uni-esma.de http://www.varc.lv http://www.vybercz.cz http://www.wellness-i.com http://www.wena.net http://www.westcoastcadd.com http://www.wing49.cz http://www.wxcsxy.com http://www.yili-lighting.com http://www.zebrachina.net
Также червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
alogserv.exe APVXDWIN.EXE ATUPDATER.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE Avconsol.exe AVENGINE.EXE AVPUPD.EXE Avsynmgr.exe AVWUPD32.EXE AVXQUAR.EXE AVXQUAR.EXE bawindo.exe blackd.exe ccApp.exe ccEvtMgr.exe ccProxy.exe ccPxySvc.exe CFIAUDIT.EXE DefWatch.exe DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE FIREWALL.EXE FrameworkService.exe ICSSUPPNT.EXE ICSUPP95.EXE LUALL.EXE LUCOMS~1.EXE mcagent.exe mcshield.exe MCUPDATE.EXE mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapsvc.exe navapsvc.exe navapw32.exe NISUM.EXE nopdb.exe NPROTECT.EXE NPROTECT.EXE NUPGRADE.EXE NUPGRADE.EXE OUTPOST.EXE PavFires.exe pavProxy.exe pavsrv50.exe Rtvscan.exe RuLaunch.exe SAVScan.exe SHSTAT.EXE SNDSrvc.exe symlcsvc.exe UPDATE.EXE UpdaterUI.exe Vshwin32.exe VsStat.exe VsTskMgr.exe
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 localhost 127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com 127.0.0.1 avp.ru 127.0.0.1 awaps.net 127.0.0.1 banner.fastclick.net 127.0.0.1 banners.fastclick.net 127.0.0.1 ca.com 127.0.0.1 click.atdmt.com 127.0.0.1 clicks.atdmt.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.microsoft.com 127.0.0.1 downloads.microsoft.com 127.0.0.1 engine.awaps.net 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 go.microsoft.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 media.fastclick.net 127.0.0.1 msdn.microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 office.microsoft.com 127.0.0.1 phx.corporate-ir.net 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 spd.atdmt.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.ru 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.awaps.net 127.0.0.1 www.ca.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.ru 127.0.0.1 www3.ca.com
Также червь удаляет следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "My AV" "ICQ Net"
Цифровые следы - ваша слабость, и хакеры это знают. Подпишитесь и узнайте, как их замести!