19 stycznia 2004

Uwaga! I-Worm.Bagle - uruchamia kalkulator

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 15 KB. Szkodnik aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Zainfekowane wiadomości posiadają następujące pola:

  • Od: nadawca losowy

  • Temat:
    Hi
  • Treść:
    Test =)
  • Podpis:
    Test, yep
  • Nazwa załącznika: losowa

Instalacja

Robak kopiuje się z nazwą bbeagle.exe do systemowego folderu Windows i tworzy w rejestrze klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"d3dupdate.exe" = "%system%\bbeagle.exe"

Szkodnik podejmuje próbę pobierania i uruchamiania konia trojańskiego TrojanProxy.Win32.Mitglieder.

Dodatkowo robak uruchamia jedną ze standardowych aplikacji systemu Windows - calc.exe.

Rozprzestrzenianie

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia: WAB, TXT, HTM, HTML, R1.

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik korzysta z własnego silnika SMTP.