24 marca 2004

I-Worm.Bagle.m - nie może się rozprzestrzeniać

Jest to klon robaka Bagle.l. Z powodu błędów szkodnik nie może się automatycznie rozprzestrzeniać. Rozmiar robaka w bajtach to 14 337 (kompresja UPX, rozmiar po rozpakowaniu - około 47 KB).

Istalacja

Robak kopiuje się do folderu systemowego Windows z nazwą syswrun4x.exe i tworzy klucz auto-run:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ssgrate.exe = %system%\syswrun4x.exe

Dodatkowo robak tworzy dwa pliki - windllzup.exe oraz bgxtdll.exe. Pierwszy z nich służy do ładowania drugiego, który zawiera trojański serwer proxy - TrojanProxy.Win32.Mitglieder.t.