20 lipca 2004

UWAGA! I-Worm.Bagle.ai

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P. Ma postać pliku PE EXE o rozmiarze około 20 KB (kompresja PEX).

Instalacja

Po uruchomieniu robak kopiuje się do folderu systemowego Windows z nazwą winxp.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"key"="%system%\winxp.exe"

Dodatkowo szkodnik tworzy następujące pliki w folderze systemowym Windows:

  • winxp.exeopen
  • winxp.exeopenopen
  • winxp.exeopenopenopen
  • winxp.exeopenopenopenopen

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • CGI
  • DBX
  • DHTM
  • EML
  • HTM
  • JSP
  • MBX
  • MDX
  • MHT
  • MMF
  • MSG
  • NCH
  • ODS
  • OFT
  • PHP
  • PL
  • SHT
  • SHTM
  • STM
  • TBB
  • TXT
  • UIN
  • WAB
  • WSH
  • XLS
  • XML

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat:
    Re:
    

  • Treść (wybierana z poniższych możliwości):
    >Animals
    >foto3 and MP3
    >fotogalary and Music
    >fotoinfo
    >Lovely animals
    >Predators
    >Screen and Music
    >The snake
    

  • Nazwa załącznika:

    • Cat
    • Cool_MP3
    • Dog
    • Doll
    • Fish
    • Garry
    • MP3
    • Music_MP3
    • New_MP3_Player

  • Rozszerzenie załącznika:

    • com
    • cpl
    • exe
    • scr
    • zip

Robak może załączać do wiadomości zainfekowane archiwa zabezpieczone hasłem, które wymienione jest w treści wiadomości. Może ono mieć postać tekstu lub obrazka.

Robak nie wysyła swoich kopii pod poniższe adresy:

  • @avp.
  • @foo
  • @hotmail
  • @iana
  • @messagelab
  • @microsoft
  • @msn
  • abuse
  • admin
  • anyone@
  • bsd
  • bugs@
  • cafee
  • certific
  • contract@
  • feste
  • free-av
  • f-secur
  • gold-certs@
  • google
  • help@
  • icrosoft
  • info@
  • kasp
  • linux
  • listserv
  • local
  • news
  • nobody@
  • noone@
  • noreply
  • ntivi
  • panda
  • pgp
  • postmaster@
  • rating@
  • root@
  • samples
  • sopho
  • spam
  • support
  • unix
  • update
  • winrar
  • winzip

Rozprzestrzenianie - sieci P2P

Robak umieszcza swoje kopie w folderach, których nazwy zawierają tekst shar:

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Kaspersky Antivirus 5.0
  • KAV 5.0
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

Zdalne zarządzanie

Robak otwiera port 1080, a także dodatkowy, losowy port i śledzi ich aktywność.

Informacje dodatkowe

Robak przestaje funkcjonować i uruchamia mechanizm "autodestrukcji" 5 maja 2006.

Szkodnik wykrywa uruchamianie większości znanych programów antywirusowych oraz zapór ogniowych i zamyka ich procesy.

W kodzie robaka zapisana jest lista adresów URL. Szkodnik podejmuje próby pobierania z nich różnych danych.