Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Bagle.at

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P. Szkodnik ma postać pliku PE EXE lub CPL (Windows Control Panel Applet) o rozmiarze około 20 KB (kompresja PeX, rozmiar po rozpakowaniu - około 30 KB). Robak instaluje w systemie serwer proxy.

Instalacja

Podczas rozprzestrzeniania się (pod postacią pliku PE EXE) robak tworzy następujące kopie:

C:\WINDOWS\SYSTEM32\wingo.exe
C:\WINDOWS\SYSTEM32\wingo.exeopen
C:\WINDOWS\SYSTEM32\wingo.exeopenopen

i tworzy klucz w rejestrze systemowym:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wingo"="%system%\wingo.exe"

Jeżeli robak ma postać pliku CPL, po jego uruchomieniu w folderze \Windows tworzony jest plik cjector.exe, który z kolei wypakowuje z siebie główny kod szkodnika i tworzy odpowiednie wpisy w rejestrze systemowym.

Rozprzestrzenianie - poczta elektroniczna

Szkodnik pobiera adresy e-mail potencjalnych ofiar z plików posiadających następujące rozszerzenia:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

Szkodnik wykorzystuje do wysyłania zainfekowanych wiadomości e-mail bezpośrednie połączenie z serwerami SMTP odbiorców.

Robak nie wysyła własnych kopii pod adresy zawierające następujące teksty:

@avp
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

Charakterystyka zainfekowanych wiadomości e-mail

  • Adres nadawcy - losowy

  • Temat (wybierany spośród poniższych możliwości):
    Re:
    Re: Hello
    Re: Hi
    Re: Thank you!
    Re: Thanks :)
    

  • Nazwa załącznika (wybierana spośród poniższych możliwości):
    Price
    Joke
    

  • Rozszerzenie załącznika (wybierane spośród poniższych możliwości):
    com
    cpl
    exe
    scr
    

Rozprzestrzenianie - sieci P2P

Robak tworzy własne kopie (z poniższymi nazwami) w folderach, których nazwy zawierają tekst share:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Zdalna administracja

Szkodnik instaluje w systemie serwer proxy, otwiera port TCP 81 i oczekuje na zdalne polecenia.

Informacje dodatkowe

25 października 2006 szkodnik przestaje funkcjonować.

Robak blokuje działanie zapór ogniowych oraz programów antywirusowych zamykając następujące procesy:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

Usuwanie robaka

W celu usunięcia robaka z systemu należy wykonać następujące operacje:

  1. Uruchomić komputer w trybie awaryjnym (podczas uruchamiania komputera należy przytrzymać klawisz F8 i wybrać ten tryb z menu, które pojawi się na ekranie).
  2. Usunąć następujące pliki z foldera \Windows\System:
    wingo.exe
    wingo.exeopen 
    wingo.exeopenopen
    

  3. Usunąć poniższy klucz z rejestru systemowego:

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "wingo"="%system%\wingo.exe"

  4. Uruchomić ponownie komputer i usunąć wszystkie zainfekowane wiadomości e-mail.


 2004-10-29  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych