Название по номенклатуре: Email-Worm.Win32.Bagle.eg
Семейство: Черви Bagle
Размер и тип файла: PE EXE-файл размером 10752 байта.
Инсталяция:
Червь копирует себя в системный каталог Windows. %System%\hloader_exe.exe. Создаваемый файл имеет размер 5693 байта.
Регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"auto_hloader_key"="%System%\hloader_exe.exe"
Распространение: Исключительно СПАМ. Самораспространение невозможно.
Действие на систему:
В создаваемом червем dll-файле содержится большой список URL, которые проверяются на наличие файлов.
В случае если по какому-то из этих адресов будет помещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.
hleader_dll.dll содержит следующие URL адреса:
Червь создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.
Семейство: Черви Bagle
Размер и тип файла: PE EXE-файл размером 10752 байта.
Инсталяция:
Червь копирует себя в системный каталог Windows. %System%\hloader_exe.exe. Создаваемый файл имеет размер 5693 байта.
Регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"auto_hloader_key"="%System%\hloader_exe.exe"
Распространение: Исключительно СПАМ. Самораспространение невозможно.
Действие на систему:
В создаваемом червем dll-файле содержится большой список URL, которые проверяются на наличие файлов.
В случае если по какому-то из этих адресов будет помещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.
hleader_dll.dll содержит следующие URL адреса:
Код:
http://1st-new-orleans-hotels.com
http://202.44.52.38
http://209.126.128.203
http://25kadr.org
http://65.108.195.73
http://757555.ru
http://80.146.233.41
http://abtechsafety.com
http://abtechsafety.com
http://acentrum.pl
http://adavenue.net
http://adoptionscanada.ca
http://adventecgroup.com
http://africa-tours.de
http://agenciaspublicidadinternet.com
http://ahava.cafe24.com
http://aibsnlea.org
http://aikidan.com
http://ala-bg.net
http://alevibirligi.ch
http://alfaclassic.sk
http://allanconi.it
http://allinfo.com.au
http://americasenergyco.com
http://amerykaameryka.com
http://amistra.com
http://analisisyconsultoria.com
http://av2026.comex.ru
http://calamarco.com
http://ccooaytomadrid.org
http://charlies-truckerpage.de
http://drinkwater.ru
http://eleceltek.com
http://furdoszoba.info
http://home.1000km.ru
http://kepter.kz
http://lifejacks.de
http://mijusungdo.net
http://oklens.co.jp
http://phrmg.org
http://s89.tku.edu.tw
http://sacafterdark.net
http://sarancha.ru
http://template.nease.net
http://tkdami.net
http://virt33.kei.pl
http://wunderlampe.com
http://www.8ingatlan.hu
http://www.a2zhostings.com
http://www.abavitis.hu
http://www.adamant-np.ru
http://www.agroturystyka.artneo.pl
http://www.americarising.com
http://www.aro-tec.com
http://www.barth.serwery.pl
http://www.bmswijndepot.com
http://www.etwas-mode.de
http://www.leap.co.il
http://www.OTT-INSIDE.de
http://www.rewardst.com
http://www.stanislawkowalczyk.netstrefa.com
http://www.timecontrol.com.pl
http://www.ubu.plЧервь создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.