28 września 2004

UWAGA! I-Worm.Bagle.as

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail, a także za pośrednictwem sieci P2P. Ma postać pliku PE EXE o rozmiarze 18 758 bajtów. Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows\System32 z różnymi nazwami, przykładowo:

  • C:\WINDOWS\SYSTEM32\bawindo.exe
  • C:\WINDOWS\SYSTEM32\bawindo.exeopen
  • C:\WINDOWS\SYSTEM32\bawindo.exeopenopen

Następnie szkodnik tworzy w rejestrze systemowym klucz auto-run:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
bawindo = %system%\bawindo.exe

Rozprzestrzenianie - poczta elektroniczna

Robak szuka adresów e-mail w plikach posiadających następujące rozszerzenia:

ADB
ASP
CFG
CGI
DBX
DHTM
EML
HTM
JSP
MBX
MDX
MHT
MMF
MSG
NCH
ODS
OFT
PHP
PL
SHT
SHTM
STM
TBB
TXT
UIN
WAB
WSH
XLS
XML

Szkodnik wysyła zainfekowane wiadomości e-mail wykorzystując bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Adres nadawcy: losowy

  • Temat (wybierany spośród następujących możliwości):
    Re: 
    Re: Hello
    Re: Hi 
    Re: Thank you! 
    Re: Thanks :)
    

  • Nazwa załącznika (wybierana spośród następujących możliwości):

    Joke
    Price
    price

  • Rozszerzenie załącznika (wybierane spośród następujących możliwości):

    COM
    CPL
    EXE
    SCR

Rozprzestrzenianie - sieci P2P

Robak tworzy własne kopie w folderach, których nazwy zawierają tekst Share. Kopie szkodnika mogą mieć różne nazwy, wybierane z poniższej listy:

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Kaspersky Antivirus 5.0
  • KAV 5.0
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

Zdalne zarządzanie

Robak otwiera port TCP oraz UDP 81 i śledzi jego aktywność w oczekiwaniu na zdalne polecenia.