29 marca 2004

UWAGA! I-Worm.Bagle.t

Jest to klon robaka I-Worm.Bagle.s. Rozprzestrzenia się przez internet, a jego rozmiar w bajtach to 8 208 (kompresja FSG, rozmiar po rozpakowaniu - około 37 KB). Zainfekowane wiadomości posiadają puste pole tematu oraz treści, natomiast w załączniku znajduje się plik game.exe.

Zainfekowane wiadomości e-mail posiadają następujące pola:

  • Adres nadawcy: losowy
  • Temat: losowy
  • Treść: pusta
  • Nazwa załącznika: game.exe

Instalacja

Robak kopiuje się do folderu systemowego Windows z nazwą sysinfo.exe i tworzy w rejestrze systemowym klucz autorun. Szkodnik tworzy także klucz:

[HKEY_CURRENT_USER\SOFTWARE\Windows2005]

i rejestruje na porcie 4751 backdoora, który może posłużyć do instalowania w zainfekowanym systemie innych szkodliwych programów.

Rozprzestrzenianie

Podobnie jak Bagle.s, szkodnik rozprzestrzenia się tylko w roku 2004.

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • WAB
  • TXT
  • MSG
  • HTM
  • SHTM
  • STM
  • XML
  • DBX
  • MBX
  • MDX
  • EML
  • NCH
  • MMF
  • ODS
  • CFG
  • ASP
  • PHP
  • WSH
  • ADB
  • TBB
  • SHT
  • XLS
  • OFT
  • UIN
  • CGI
  • MHT
  • DTM
  • JSP

Robak nie wysyła swoich kopii pod adresy zawierające teksty @avp. oraz @microsoft.

Informacje dodatkowe

Bagle.t podejmuje próby wysyłania informacji o zainfekowanych komputerach pod adres www.werde.de ze specjalnymi paramertami, do których prawdopodobnie autor szkodnika może uzyskać dostęp.

W celu ukrycia procesu infekowania komputera robak podejmuje próbę uruchomienia pliku dreder.exe, który nie jest obecny w standardowych instalacjach systemów Windows.