27 marca 2004

I-Worm.Bagle.s - uruchamia aplikację Sieć Microsoft Hearts

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Rozmiar szkodnika to około 8 KB (kompresja FSG, rozmiar po rozpakowaniu - 37 KB).

Zainfekowane wiadomości e-mail posiadają następujące pola:

 • Adres nadawcy: losowy
 • Temat: losowy
 • Treść: pusta
 • Nazwa załącznika: losowa
 • Typ załącznika: EXE

Instalacja

Robak kopiuje się do folderu systemowego Windows z nazwą gigabit.exe i tworzy w rejestrze systemowym klucz autorun:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gigabit.exe" = "%system%\gigabit.exe"

Szkodnik tworzy także dodatkowy klucz, w którym zapisuje własne zmienne:

[SOFTWARE\Windows2004]
"gsed"

Szkodnik podejmuje próby łączenia się z kilkoma zdalnymi stronami i zapisywania na nich informacji o zainfekowanym komputerze.

Bagle.s uruchamia także aplikację Sieć Microsoft Hearts - mshearts.exe.

Rozprzestrzenianie

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

 • ADB
 • ASP
 • CFG
 • CGI
 • DBX
 • DHTM
 • EML
 • HTM
 • JSP
 • MBX
 • MDX
 • MHT
 • MMF
 • MSG
 • NCH
 • ODS
 • OFT
 • PHP
 • PL
 • SHT
 • SHTM
 • STM
 • TBB
 • TXT
 • UIN
 • WAB
 • WSH
 • XLS
 • XML

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny silnik SMTP.

Zdalna administracaja

Robak otwiera port 4751 i monitoruje jego aktywność. Wbudowana w robaka procedura backdoor pozwala hakerowi na zdalne wykonywanie komend oraz pobieranie plików.