UWAGA! I-Worm.Bagle.al
Bagle.al składa się z dwóch komponentów:
- Pliku ZIP załączonego do zainfekowanej wiadomości e-mail;
- Właściwego kodu robaka pobieranego ze stron WWW.
Plik ZIP zawiera program o rozmiarze 5 932 bajtów, który pobiera kod szkodnika z internetu. Program ten składa się z dwóch plików:
- price.html
- priceprice.exe
Plik price.html zawiera skrypt
Price.exe zawiera konia trojańskiego o rozmiarze 14 848 bajtów, który pobiera z internetu właściwy kod robaka i instaluje go w systemie. Po uruchomieniu trojan kopiuje się do foldera WindowsSystem z nazwą windirect.exe i tworzy w rejestrze systemowym klucz auto-run:
"win_upd2.exe"="%system%windirect.exe"
Następnie szkodnik wypakowuje do foldera Windows moduł pobierający (plik dll.exe o rozmiarze 11 776 bajtów) i uruchamia go. Moduł ten zatrzymuje następujące procesy:
- ATUPDATER.EXE
- ATUPDATER.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVPUPD.EXE
- AVWUPD32.EXE
- AVXQUAR.EXE
- AVXQUAR.EXE
- CFIAUDIT.EXE
- DRWEBUPW.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- FIREWALL.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- LUALL.EXE
- MCUPDATE.EXE
- NUPGRADE.EXE
- NUPGRADE.EXE
- OUTPOST.EXE
- SYS_XP.EXE
- SYSXP.EXE
- UPDATE.EXE
- WINZIP.EXE
Na koniec trojan pobiera właściwy kod robaka z internetu i uruchamia go.
Bagle.al bazuje na kodzie źródłowym robaka Bagle.aa, a jego rozmiar to 19 460 bajtów.
Po uruchomieniu szkodnik kopiuje się do foldera WindowsSystem z nazwą windll.exe i tworzy w rejestrze systemowym klucz auto-run:
"erthgdr"="%system%windll.exe"
Ponadto Bagle.al tworzy w folderze WindowsSystem dwa dodatkowe pliki: windll.exeopen oraz windll.exeopenopen.
Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:
- ADB
- ASP
- CFG
- CGI
- DBX
- DHTM
- EML
- HTM
- JSP
- MBX
- MDX
- MHT
- MMF
- MSG
- NCH
- ODS
- OFT
- PHP
- PL
- SHT
- SHTM
- STM
- TBB
- TXT
- UIN
- WAB
- WSH
- XLS
- XML
Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.
- Temat: brak
- Treść:
new price price
Wiadomość posiada format HTML.
- Nazwa załącznika (wybierana spośród poniższych możliwości):
- 08_price.zip
- new__price.zip
- new_price.zip
- newprice.zip
- price.zip
- price_08.zip
- price_new.zip
- price2.zip
Bagle.al może rozprzestrzeniać się jako zabezpieczone hasłem archiwum ZIP. Wówczas hasło znajduje się w treści wiadomości w postaci tekstu lub obrazka.
Szkodnik nie wysyła zainfekowanych wiadomości e-mail pod adresy zawierające jeden z poniższych tekstów:
- @avp.
- @derewrdgrs
- @eerswqe
- @foo
- @iana
- @messagelab
- @microsoft
- abuse
- admin
- anyone@
- bsd
- bugs@
- cafee
- certific
- contract@
- feste
- free-av
- f-secur
- gold-certs@
- help@
- icrosoft
- info@
- kasp
- linux
- listserv
- local
- news
- nobody@
- noone@
- noreply
- ntivi
- panda
- pgp
- postmaster@
- rating@
- root@
- samples
- sopho
- spam
- support
- unix
- update
- winrar
- winzip
Robak umieszcza swoje kopie w folderach, których nazwy zawierają tekst shar:
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Kaspersky Antivirus 5.0
- KAV 5.0
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Opera 8 New!.exe
- Porno pics arhive, xxx.exe
- Porno Screensaver.scr
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
Bagle.al otwiera port 80 lokalnego serwera HTTP. Pozwala to hakerowi na zdalne uruchamianie plików na zainfekowanym komputerze.
Główny składnik robaka działa do 10 sierpnia 2004.