1 września 2004

UWAGA! I-Worm.Bagle.ao

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail, a także przy użyciu sieci P2P. Jest bardzo podobny do robaka I-Worm.Bagle.an. Ma postać pliku PE EXE o rozmiarze 17 492 bajtów (kompresja PEX, rozmiar po rozpakowaniu - 23 556 bajtów).

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat:
    photo
    

  • Treść (wiadomość ma wygląd strony WWW):
    photo
    

  • Nazwa załącznika: foto.zip lub fotos.zip

Załączone archiwa zawierają pliki:

foto.html 
\1\calc.exe 

W pierwszym pliku zapisany jest exploit - Exploit.CodeBaseExec, natomiast w drugim pliku znajduje się TrojanDropper.Win32.Small.kv, który instaluje na komputerze program TrojanDownloader.Win32.Agent.cj. Zadaniem ostatniego jest pobieranie głównego modułu robaka z Internetu.

Informacje dodatkowe

Nazwy plików, wartości kluczy rejestru oraz funkcje rozprzestrzeniające robaka za pośrednictwem sieci P2P są identyczne, jak w przypadku szkodnika I-Worm.Bagle.al.

Robak przestaje funkcjonować i usuwa się z systemu 2 września 2004.