Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Bagle.aa - działa do 7 lipca 2004

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P. Szkodnik został spakowany przy użyciu narzędzi UPX oraz PEX (rozmiar po rozpakowaniu - około 66 KB).

Instalacja

Po uruchomieniu robak kopiuje się do folderu systemowego Windows z nazwą loader_name.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"reg_key" = "%system%\loader_name.exe"

Dodatkowo szkodnik tworzy następujące pliki w folderze systemowym Windows:

loader_name.exeopen
loader_name.exeopenopen

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • CGI
  • DBX
  • DHTM
  • EML
  • HTM
  • JSP
  • MBX
  • MDX
  • MHT
  • MMF
  • MSG
  • NCH
  • ODS
  • OFT
  • PHP
  • PL
  • SHT
  • SHTM
  • STM
  • TBB
  • TXT
  • UIN
  • WAB
  • WSH
  • XLS
  • XML

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    Re: Msg reply
    Re: Hello
    Re: Yahoo!
    Re: Thank you!
    Re: Thanks :)
    RE: Text message
    Re: Document
    Incoming message
    Re: Incoming Message
    RE: Incoming Msg
    RE: Message Notify
    Notification
    Changes..
    Update
    Fax Message
    Protected message
    RE: Protected message
    Forum notify
    Site changes
    Re: Hi
    Encrypted document
    

  • Treść (wybierana z poniższych możliwości):
    Read the attach.
    Your file is attached.
    More info is in attach
    See attach.
    Please, have a look at the attached file.
    Your document is attached.
    Please, read the document.
    Attach tells everything.
    Attached file tells everything.
    Check attached file for details.
    Check attached file.
    Pay attention at the attach.
    See the attached file for details.
    Message is in attach
    Here is the file.
    

  • Nazwa załącznika:

    Information
    Details
    text_document
    Updates
    Readme
    Document
    Info
    Details
    MoreInfo
    Message

  • Rozszerzenie załącznika:

    EXE
    SCR
    COM
    ZIP
    VBS
    HTA
    CPL

Jeżeli załącznik posiada rozszerzenie HTA rozmiar pliku to około 208 KB. W przypadku rozszerzenia VBS załącznik ma rozmiar około 211 KB.

Robak ma możliwość rozsyłania archiwów zabezpieczonych hasłem. Wówczas hasło wyświetlane jest w treści wiadomości jako tekst oraz obrazek.

Szkodnik nie wysyła zainfekowanych wiadomości pod adresy zawierające następujące teksty:

  • @hotmail
  • @msn
  • @microsoft
  • rating@
  • f-secur
  • news
  • update
  • anyone@
  • bugs@
  • contract@
  • feste
  • gold-certs@
  • help@
  • info@
  • nobody@
  • noone@
  • kasp
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • sopho
  • @foo
  • @iana
  • free-av
  • @messagelab
  • winzip
  • google
  • winrar
  • samples
  • abuse
  • panda
  • cafee
  • spam
  • pgp
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@

Rozprzestrzenianie - sieci P2P

Robak umieszcza swoje kopie w folderach, których nazwy zawierają tekst shar:

  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Porno pics arhive, xxx.exe
  • Serials.txt.exe
  • KAV 5.0
  • Kaspersky Antivirus 5.0
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe
  • Opera 8 New!.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • ACDSee 9.exe

Zdalne zarządzanie

Robak otwiera i śledzi aktywność portu 1234. Wbudowana w niego funkcja backdoor pozwala zdalną inicjację masowego wysyłania wiadomości e-mail zawierających kod szkodnika.

Informacje dodatkowe

Szkodnik działa do 7 lipca 2004.



 2004-07-06  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych