Email-Worm.Win32.Bagle.cl

[Winux]

Название по номенклатуре: Email-Worm.Win32.Bagle.cl. также известен как: W32/Bagle.dldr.gen (McAfee), BehavesLike:Win32.ExplorerHijack (SOFTWIN), Worm.Bagle.BB-gen (ClamAV), Suspect File (Panda)
Семейство: Bagle
Размер файла: 36864 байта
Инсталяция: После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»). При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:

%System%\winshost.exe
%System%\wiwshost.exe

Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe"="%System%\winshost.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.
Распространение: Данная модификация червя самостоятельно не размножается. Она была разослана при помощи спам-рассылки.
Действие на систему: Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.
Кроме того прописывает в %System%\drivers\etc\hosts свои хосты. Из всего списка необходимо оставить только 127.0.0.1 localhost