17 lutego 2004

UWAGA! I-Worm.Bagle.b - rozsyła plik EXE

JEst to robak rozprzestrzeniający się jako ząłacznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 11 KB (kompresja UPX, rozmiar po rozpakowaniu - około 16 KB.

Zainfekowane wiadomości posiadają następujące pola:

 • Temat:
  ID x... thanks
  gdzie x oznacza ciąg losowych znaków

 • Treść:
  Yours ID x
  --
  Thank
  
  gdzie x oznacza ciąg losowych znaków

 • Załącznik: plik z losową nazwą o rozmiarze około 11 KB.

Instalacja

Po uruchomieniu robak kopiuje się z nazwą au.exe do folderu systemowego Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"au.exe" = "%system%\au.exe"

Następnie szkodniki podejmuje próbę połączenia się z kilkoma zdalnymi serwisami powiązanymi z trojańskim serwerem proxy TrojanProxy.Win32.Mitglieder. Podczas aktywacji robak uruchamia Rejestrator dźwięku (sndrec32.exe).

Rozprzestrzenianie

Robak wysyła własne kopie pod wszystkie adresy e-mail znalezione w plikach posiadających rozszerzenia WAB, TXT, HTM oraz HTML. Szkodnik wykorzystuje własny silnik SMTP.

Zdalna administracja

Robak otwiera port 8866 i oczekuje na polecenia zdalnej administracji.

Informacje dodatkowe

Procedura rozprzestrzeniająca robaka działa tylko do 25 lutego 2004.