UWAGA! I-Worm.Bagle.b - rozsyła plik EXE | Kaspersky Lab"/> <font color="red"><b>UWAGA! I-Worm.Bagle.b - rozsyła plik EXE</b></font> | Kaspersky Lab

Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Bagle.b - rozsyła plik EXE

JEst to robak rozprzestrzeniający się jako ząłacznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 11 KB (kompresja UPX, rozmiar po rozpakowaniu - około 16 KB.

Zainfekowane wiadomości posiadają następujące pola:

  • Temat:
    ID x... thanks
    gdzie x oznacza ciąg losowych znaków

  • Treść:
    Yours ID x
    --
    Thank
    
    gdzie x oznacza ciąg losowych znaków

  • Załącznik: plik z losową nazwą o rozmiarze około 11 KB.

Instalacja

Po uruchomieniu robak kopiuje się z nazwą au.exe do folderu systemowego Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"au.exe" = "%system%\au.exe"

Następnie szkodniki podejmuje próbę połączenia się z kilkoma zdalnymi serwisami powiązanymi z trojańskim serwerem proxy TrojanProxy.Win32.Mitglieder. Podczas aktywacji robak uruchamia Rejestrator dźwięku (sndrec32.exe).

Rozprzestrzenianie

Robak wysyła własne kopie pod wszystkie adresy e-mail znalezione w plikach posiadających rozszerzenia WAB, TXT, HTM oraz HTML. Szkodnik wykorzystuje własny silnik SMTP.

Zdalna administracja

Robak otwiera port 8866 i oczekuje na polecenia zdalnej administracji.

Informacje dodatkowe

Procedura rozprzestrzeniająca robaka działa tylko do 25 lutego 2004.



 2004-02-17  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych