Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Bagle.c - rozprzestrzenia się do 14 marca 2004

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 15 KB (kompresja UPX, rozmiar po rozpakowaniu - 28 KB).

Zainfekowane wiadomości e-mail posiadają następujące pola:

  • Temat:

    • Accounts department
    • Ahtung!
    • Camila
    • Daily activity report
    • Flayers among us
    • Freedom for everyone
    • From Hair-cutter
    • From me
    • Greet the day
    • Hardware devices price-list
    • Hello my friend
    • Hi!
    • Jenny
    • Jessica
    • Looking for the report
    • Maria
    • Melissa
    • Monthly incomings summary
    • New Price-list
    • Price
    • Price list
    • Pricelist
    • Price-list
    • Proclivity to servitude
    • Registration confirmation
    • The account
    • The employee
    • The summary
    • USA government abolishes the capital punishment
    • Weekly activity report
    • Well...
    • You are dismissed
    • You really love me? he he

  • Treść - pusta.

  • Załącznik - jest to archiwum ZIP o losowej nazwie. Wewnątrz archiwum znajduje się plik wykonywalny EXE posiadający losową nazwę oraz ikonę arkusza programu Excel.

Instalacja

Robak kopiuje się do folderu systemowego Windows z następującymi nazwami:

  • readme.exe
  • onde.exe
  • doc.exe
  • readme.exeopen

i rejestruje plik readme.exe w kluczu auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"gouday.exe" = "%system%\readme.exe"]

Szkodnik tworzy również dodatkowy klucz:

[HKCU\SOFTWARE\DataTime2]

i zapisuje w nim własne zmienne.

Szkodnik podejmuje próby łączenia się z kilkoma zdalnymi stronami i zapisywania na nich informacji o zainfekowanym komputerze.

Podczas aktywacji robak uruchamia Notatnik Windows (notepad.exe).

Rozprzestrzenianie

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • DBX
  • EML
  • HTM
  • HTML
  • MDX
  • MMF
  • NCH
  • ODS
  • PHP
  • PL
  • SHT
  • TXT
  • WAB

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny silnik SMTP.

Zdalna administracaja

Robak otwiera port 2745 i monitoruje jego aktywność. Wbudowana w robaka procedura backdoor pozwala hakerowi na zdalne wykonywanie poleceń i kopiowanie plików na zainfekowany komputer.

Informacje dodatkowe

Robak podejmuje próby przerywania aktualizacji antywirusowych baz danych poprzez zamykanie następujących procesów:

  • ATUPDATER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

W kodzie robaka znajduje się blokada przerywająca jego rozprzestrzenianie dnia 14 marca 2004.



 2004-03-01  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych