Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Uwaga! I-Worm.Bagle.i

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci pozwalających na wymianę plików. Rozmiar szkodnika to 12 288 bajtów (kompresja UPX, rozmiar po rozpakowaniu - 49 152 bajtów). Podobnie jak poprzednie wersje Bagle.i może rozsyłać się pod postacią archiwum ZIP. Rozmiar spakowanej kopii wirusa to około 12 KB.

Zainfekowane wiadomości e-mail posiadają następujące pola:

  • Temat:

    • E-mail account security warning. 
    • Notify about using the e-mail account.
    • Warning about your e-mail account.
    • Important notify about your e-mail account.
    • Email account utilization warning.
    • Notify about your e-mail account utilization.
    • E-mail account disabling warning.

  • Powitanie:

    • Dear user of %nazwa%,
    • Dear user of %nazwa% gateway e-mail server,
    • Dear user of e-mail server "%nazwa%",
    • Hello user of %nazwa% e-mail server,
    • Dear user of "%nazwa%" mailing system,
    • Dear user, the management of %nazwa% 
      mailing system wants to let you know that,

  • Treść:

    • Your e-mail account has been temporary 
      disabled because of unauthorized access.
    • Our main mailing server will be temporary 
      unavaible for next two days, to continue receiving 
      mail in these days you have to configure our free
      auto-forwarding service.
    • Your e-mail account will be disabled 
      because of improper using in next three days, 
      if you are still wishing to use it, please, 
      resign your account information.
    • We warn you about some attacks on 
      your e-mail account. Your computer may
      contain viruses, in order to keep your 
      computer and e-mail account safe,
      please, follow the instructions.
    • Our antivirus software has 
      detected a large ammount of viruses 
      outgoing from your email account, you 
      may use our free anti-virus tool to 
      clean up your computer software.
    • Some of our clients complained 
      about the spam (negative e-mail content)
      outgoing from your e-mail account. 
      Probably, you have been infected by
      a proxy-relay trojan server. In order 
      to keep your computer safe,
      follow the instructions.

  • Podsumowanie:

    • For more information see the attached file.
    • Further details can be obtained from attached file.
    • Advanced details can be found in attached file.
    • For details see the attach.
    • For details see the attached file.
    • For further details see the attach.
    • Please, read the attach for further details.
    • Pay attention on attached file.

    Jeżeli kopia robaka załączona jest w postaci archiwum ZIP do wiadomości dodawany jest następujący tekst:

    • For security reasons attached file 
      is password protected. The password is %hasło%.
    • For security purposes the attached 
      file is password protected. Password is %hasło%.
    • Attached file protected with the 
      password for security reasons. Password is %hasło%.
    • In order to read the attach you 
      have to use the following password: %hasło%.

  • Podpis:

    • The Management,
    • Sincerely,
    • Best wishes,
    • Have a good day,
    • Cheers,
    • Kind regards,

    Na końcu wiadomości znajduje się tekst:

    The %nazwa% team                        http://www.%nazwa%

    W polach %nazwa% wirus umieszcza nazwę domeny, w której znajduje się serwer pocztowy odbiorcy.

  • Nazwa załącznika:

    • Attach
    • Information
    • Readme
    • Document
    • Info
    • TextDocument
    • TextFile
    • MoreInfo
    • Message

  • Rozszerzenie załącznika:

    • EXE
    • PIF
    • ZIP

Instalacja

Robak kopiuje się z nazwą irun4.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ssate.exe" = "%system%\irun4.exe

Szkodnik tworzy również dodatkowy klucz:

[HKCU\SOFTWARE\DateTime]
""="1"

Szkodnik podejmuje próby łączenia się z kilkoma zdalnymi stronami i zapisywania na nich informacji o zainfekowanym komputerze.

Rozprzestrzenianie

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • WAB
  • TXT
  • MSG
  • HTM
  • XML
  • DBX
  • MDX
  • EML
  • NCH
  • MMF
  • ODS
  • CFG
  • ASP
  • PHP
  • PL
  • ADB
  • TBB
  • SHT
  • UIN
  • CGI

Robak wykorzystuje własny silnik SMTP. Zainfekowane wiadomości nie są wysyłane pod następujące adresy:

  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@

Rozprzestrzenianie za pośrednictwem sieci P2P

Szkodnik kopiuje się z poniższymi nazwami do folderów, których nazwy zawierają tekst shar:

  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Porno pics arhive, xxx.exe
  • Serials.txt.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe
  • Opera 8 New!.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • ACDSee 9.exe

Zdalna administracaja

Robak otwiera port 2745 i monitoruje jego aktywność. Wbudowana w robaka procedura backdoor pozwala hakerowi na zdalne wykonywanie poleceń i kopiowanie plików na zainfekowany komputer.

Informacje dodatkowe

Robak podejmuje próby przerywania aktualizacji antywirusowych baz danych poprzez zamykanie następujących procesów:

  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

W kodzie robaka znajduje się blokada przerywająca jego rozprzestrzenianie dnia 26 kwietnia 2005.



 2004-03-03  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych