3 marca 2004

Uwaga! I-Worm.Bagle.i

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci pozwalających na wymianę plików. Rozmiar szkodnika to 12 288 bajtów (kompresja UPX, rozmiar po rozpakowaniu - 49 152 bajtów). Podobnie jak poprzednie wersje Bagle.i może rozsyłać się pod postacią archiwum ZIP. Rozmiar spakowanej kopii wirusa to około 12 KB.

Zainfekowane wiadomości e-mail posiadają następujące pola:

 • Temat:

  • E-mail account security warning.
  • Notify about using the e-mail account.
  • Warning about your e-mail account.
  • Important notify about your e-mail account.
  • Email account utilization warning.
  • Notify about your e-mail account utilization.
  • E-mail account disabling warning.

 • Powitanie:

  • Dear user of %nazwa%,
  • Dear user of %nazwa% gateway e-mail server,
  • Dear user of e-mail server "%nazwa%",
  • Hello user of %nazwa% e-mail server,
  • Dear user of "%nazwa%" mailing system,
  • Dear user, the management of %nazwa% mailing system wants to let you know that,

 • Treść:

  • Your e-mail account has been temporary 
   disabled because of unauthorized access.
  • Our main mailing server will be temporary 
   unavaible for next two days, to continue receiving 
   mail in these days you have to configure our free
   auto-forwarding service.
  • Your e-mail account will be disabled 
   because of improper using in next three days, 
   if you are still wishing to use it, please, 
   resign your account information.
  • We warn you about some attacks on 
   your e-mail account. Your computer may
   contain viruses, in order to keep your 
   computer and e-mail account safe,
   please, follow the instructions.
  • Our antivirus software has 
   detected a large ammount of viruses 
   outgoing from your email account, you 
   may use our free anti-virus tool to 
   clean up your computer software.
  • Some of our clients complained 
   about the spam (negative e-mail content)
   outgoing from your e-mail account. 
   Probably, you have been infected by
   a proxy-relay trojan server. In order 
   to keep your computer safe,
   follow the instructions.

 • Podsumowanie:

  • For more information see the attached file.
  • Further details can be obtained from attached file.
  • Advanced details can be found in attached file.
  • For details see the attach.
  • For details see the attached file.
  • For further details see the attach.
  • Please, read the attach for further details.
  • Pay attention on attached file.

  Jeżeli kopia robaka załączona jest w postaci archiwum ZIP do wiadomości dodawany jest następujący tekst:

  • For security reasons attached file is password protected. The password is %hasło%.
  • For security purposes the attached file is password protected. Password is %hasło%.
  • Attached file protected with the password for security reasons. Password is %hasło%.
  • In order to read the attach you have to use the following password: %hasło%.

 • Podpis:

  • The Management,
  • Sincerely,
  • Best wishes,
  • Have a good day,
  • Cheers,
  • Kind regards,

  Na końcu wiadomości znajduje się tekst:

  The %nazwa% team            http://www.%nazwa%

  W polach %nazwa% wirus umieszcza nazwę domeny, w której znajduje się serwer pocztowy odbiorcy.

 • Nazwa załącznika:

  • Attach
  • Information
  • Readme
  • Document
  • Info
  • TextDocument
  • TextFile
  • MoreInfo
  • Message

 • Rozszerzenie załącznika:

  • EXE
  • PIF
  • ZIP

Instalacja

Robak kopiuje się z nazwą irun4.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ssate.exe" = "%system%\irun4.exe

Szkodnik tworzy również dodatkowy klucz:

[HKCU\SOFTWARE\DateTime]
""="1"

Szkodnik podejmuje próby łączenia się z kilkoma zdalnymi stronami i zapisywania na nich informacji o zainfekowanym komputerze.

Rozprzestrzenianie

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

 • WAB
 • TXT
 • MSG
 • HTM
 • XML
 • DBX
 • MDX
 • EML
 • NCH
 • MMF
 • ODS
 • CFG
 • ASP
 • PHP
 • PL
 • ADB
 • TBB
 • SHT
 • UIN
 • CGI

Robak wykorzystuje własny silnik SMTP. Zainfekowane wiadomości nie są wysyłane pod następujące adresy:

 • @hotmail.com
 • @msn.com
 • @microsoft
 • @avp.
 • noreply
 • local
 • root@
 • postmaster@

Rozprzestrzenianie za pośrednictwem sieci P2P

Szkodnik kopiuje się z poniższymi nazwami do folderów, których nazwy zawierają tekst shar:

 • Microsoft Office 2003 Crack, Working!.exe
 • Microsoft Office XP working Crack, Keygen.exe
 • Microsoft Windows XP, WinXP Crack, working Keygen.exe
 • Porno Screensaver.scr
 • Porno, sex, oral, anal cool, awesome!!.exe
 • Porno pics arhive, xxx.exe
 • Serials.txt.exe
 • Windown Longhorn Beta Leak.exe
 • Windows Sourcecode update.doc.exe
 • XXX hardcore images.exe
 • Opera 8 New!.exe
 • WinAmp 5 Pro Keygen Crack Update.exe
 • WinAmp 6 New!.exe
 • Matrix 3 Revolution English Subtitles.exe
 • Adobe Photoshop 9 full.exe
 • Ahead Nero 7.exe
 • ACDSee 9.exe

Zdalna administracaja

Robak otwiera port 2745 i monitoruje jego aktywność. Wbudowana w robaka procedura backdoor pozwala hakerowi na zdalne wykonywanie poleceń i kopiowanie plików na zainfekowany komputer.

Informacje dodatkowe

Robak podejmuje próby przerywania aktualizacji antywirusowych baz danych poprzez zamykanie następujących procesów:

 • ATUPDATER.EXE
 • AUPDATE.EXE
 • AUTODOWN.EXE
 • AUTOTRACE.EXE
 • AUTOUPDATE.EXE
 • AVLTMAIN.EXE
 • AVPUPD.EXE
 • AVWUPD32.EXE
 • AVXQUAR.EXE
 • CFIAUDIT.EXE
 • DRWEBUPW.EXE
 • ICSSUPPNT.EXE
 • ICSUPP95.EXE
 • LUALL.EXE
 • MCUPDATE.EXE
 • NUPGRADE.EXE
 • OUTPOST.EXE
 • UPDATE.EXE

W kodzie robaka znajduje się blokada przerywająca jego rozprzestrzenianie dnia 26 kwietnia 2005.