Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Bagle.e - rozprzestrzenia się do 25 marca 2004

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 17 KB (kompresja PEX, rozmiar po rozpakowaniu - 27 KB).

Zainfekowane wiadomości e-mail posiadają następujące pola:

  • Temat:

    • Accounts department
    • Ahtung!
    • Camila
    • Daily activity report
    • Ello!
    • Flayers among us
    • Freedom for everyone
    • From Hair-cutter
    • From me
    • Greet the day
    • Hardware devices price-list
    • Hello my friend
    • Hi!
    • Jenny
    • Jessica
    • Looking for the report
    • Maria
    • Melissa
    • Monthly incomings summary
    • New Price-list
    • Price
    • Price list
    • Pricelist
    • Price-list
    • Proclivity to servitude
    • Registration confirmation
    • The account
    • The employee
    • The summary
    • USA government abolishes the capital punishment  
      Weekly activity report  Well...
    • You are dismissed
    • You really love me? he he

  • Treść:

    • Cya
    • Empty
    • Everything inside the attach
    • Look it through
    • Request
    • Response
    • Subj

    Treść może być także pusta.

  • Załącznik - jest to archiwum ZIP, którego nazwa składa się z losowych kombinacji liter a, b oraz c (przykładowo cdda.zip). Wewnątrz archiwum znajduje się plik wykonywalny EXE posiadający losową nazwę oraz ikonę pliku tekstowego.

Instalacja

Robak kopiuje się do folderu systemowego Windows z następującymi nazwami:

  • i1ru74n4.exe
  • godo.exe
  • ii455nj4.exe
  • i1ru74n4.exeopen

i rejestruje plik i1ru74n4.exe w kluczu auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rate.exe" = "%system%\i1ru74n4.exe"

Szkodnik tworzy również dodatkowy klucz:

[HKCU\SOFTWARE\DateTime4]

i zapisuje w nim własne zmienne.

Szkodnik podejmuje próby łączenia się z kilkoma zdalnymi stronami i zapisywania na nich informacji o zainfekowanym komputerze. Ponadto w celu oznaczenia swojej obecności w pamięci szkodnik tworzy mutex imain_mutex.

Rozprzestrzenianie

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • DBX
  • EML
  • HTM
  • HTML
  • MDX
  • MMF
  • NCH
  • ODS
  • PHP
  • PL
  • SHT
  • TXT
  • WAB

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny silnik SMTP.

Zdalna administracaja

Robak otwiera port 2745 i monitoruje jego aktywność. Wbudowana w robaka procedura backdoor pozwala hakerowi na zdalne wykonywanie poleceń i kopiowanie plików na zainfekowany komputer.

Informacje dodatkowe

Robak podejmuje próby przerywania aktualizacji antywirusowych baz danych poprzez zamykanie następujących procesów:

  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

W kodzie robaka znajduje się blokada przerywająca jego rozprzestrzenianie dnia 25 marca 2004.



 2004-03-01  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych