Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Bagle.s - uruchamia aplikację Sieć Microsoft Hearts

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Rozmiar szkodnika to około 8 KB (kompresja FSG, rozmiar po rozpakowaniu - 37 KB).

Zainfekowane wiadomości e-mail posiadają następujące pola:

  • Adres nadawcy: losowy
  • Temat: losowy
  • Treść: pusta
  • Nazwa załącznika: losowa
  • Typ załącznika: EXE

Instalacja

Robak kopiuje się do folderu systemowego Windows z nazwą gigabit.exe i tworzy w rejestrze systemowym klucz autorun:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gigabit.exe" = "%system%\gigabit.exe"

Szkodnik tworzy także dodatkowy klucz, w którym zapisuje własne zmienne:

[SOFTWARE\Windows2004]
"gsed"

Szkodnik podejmuje próby łączenia się z kilkoma zdalnymi stronami i zapisywania na nich informacji o zainfekowanym komputerze.

Bagle.s uruchamia także aplikację Sieć Microsoft Hearts - mshearts.exe.

Rozprzestrzenianie

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • CGI
  • DBX
  • DHTM
  • EML
  • HTM
  • JSP
  • MBX
  • MDX
  • MHT
  • MMF
  • MSG
  • NCH
  • ODS
  • OFT
  • PHP
  • PL
  • SHT
  • SHTM
  • STM
  • TBB
  • TXT
  • UIN
  • WAB
  • WSH
  • XLS
  • XML

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny silnik SMTP.

Zdalna administracaja

Robak otwiera port 4751 i monitoruje jego aktywność. Wbudowana w robaka procedura backdoor pozwala hakerowi na zdalne wykonywanie komend oraz pobieranie plików.



 2004-03-27  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych