Название: Email-Worm.Win32.Bagle.fj
Размер: от 16 до 21 КБ.
Распространение:
через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Инсталяция:
После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).
При инсталляции червь копирует себя в системный каталог Windows с именем sysformat.exe:
Затем регистрирует себя в ключе автозапуска системного реестра:
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующий ключ системного реестра с целью блокировки сервиса файервола в Windows XP:
Также червь добавляет следующую запись в системный реестр в качестве идентификатора зражения системы:
Действие на систему:
Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Червь содержит следующие URL:
Также червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
Также червь удаляет следующие записи в системном реестре:
Прочее:
Пример зараженого письма:
Тема письма:
Выбирается из списка:
Выбирается из списка:
Выбирается из списка:
Распространение через email
Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
Для отправки почты червь пытается осуществить прямое подключение к SMTP-серверам.
Игнорируется отправка писем на адреса, содержащие следующие строки:
Распространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Shar» с именами выбираемыми из списка:
Размер: от 16 до 21 КБ.
Распространение:
через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Инсталяция:
После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).
При инсталляции червь копирует себя в системный каталог Windows с именем sysformat.exe:
Код:
%System%\sysformat.exeЗатем регистрирует себя в ключе автозапуска системного реестра:
Код:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"sysformat" = "%System%\sysformat.exe"Также червь изменяет следующий ключ системного реестра с целью блокировки сервиса файервола в Windows XP:
Код:
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4"
Код:
[HKCU\Software\Microsoft\Params]
"FirstRun"="01"Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Червь содержит следующие URL:
Код:
http://www.alexandriaradiology.com
http://www.algor.com
http://www.belwue.de
http://www.booksbyhunter.com
http://www.campus-and-more.com
http://www.capitalforex.com
http://www.capitalspreadspromo.com
http://www.casinobrillen.de
http://www.casinofunnights.com
http://www.cnsrvr.com
http://www.coupdepinceau.com
http://www.crazyiron.ru
http://www.curious.be
http://www.databoots.de
http://www.digitalefoto.net
http://www.duodaydream.nl
http://www.ec.cox-wacotrib.com
http://www.emarrynet.com
http://www.erotologist.com
http://www.eversetic.com
http://www.ezybidz.com
http://www.fachman.com
http://www.finlaw.ru
http://www.fitdina.com
http://www.flashcardplayer.com
http://www.flox-avant.ru
http://www.forumgestionvilles.com
http://www.gaspekas.com
http://www.genesisfinancialonline.com
http://www.georg-kuenzle.ch
http://www.girardelli.com
http://www.golden-gross.ru
http://www.gregoryolson.com
http://www.gtechna.com
http://www.harmony-farms.net
http://www.hftmusic.com
http://www.hiwmreport.com
http://www.horizonimagingllc.com
http://www.hotelbus.de
http://www.houstonzoo.org
http://www.howiwinmoney.com
http://www.iesgrantarajal.org
http://www.ietcn.com
http://www.import-world.com
http://www.imspress.com
http://www.internalcardreaders.com
http://www.interorient.ru
http://www.interstrom.ru
http://www.iutoledo.org
http://www.jackstitt.com
http://www.josemarimuro.com
http://www.kameo-bijux.ru
http://www.karrad6000.ru
http://www.kaztransformator.kz
http://www.keywordthief.com
http://www.kyno.cz
http://www.lotslink.com
http://www.lunardi.com
http://www.lxlight.com
http://www.newportsystemsusa.com
http://www.njzt.net
http://www.posteffects.com
http://www.prineus.de
http://www.provax.sk
http://www.q-serwer.net
http://www.rodoslovia.ru
http://www.sgmisburg.de
http://www.sorisem.net
http://www.steintrade.net
http://www.thetildegroup.com
http://www.uni-esma.de
http://www.varc.lv
http://www.vybercz.cz
http://www.wellness-i.com
http://www.wena.net
http://www.westcoastcadd.com
http://www.wing49.cz
http://www.wxcsxy.com
http://www.yili-lighting.com
http://www.zebrachina.net
Код:
alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe
Код:
127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"My AV"
"ICQ Net"Пример зараженого письма:
Тема письма:
Выбирается из списка:
- Delivery by mail
- Delivery service mail
- February price
- Is delivered mail
- price
- Registration is accepted
- You are made active
Выбирается из списка:
- Delivery by mail
- Delivery service mail
- February price
- Is delivered mail
- price
- Registration is accepted
- You are made active
Выбирается из списка:
- 21_price.zip
- February_price.zip
- guupd02.zip
- Jol03.zip
- new_price.zip
- price.zip
- pricelist.zip
- pricelst.zip
- siupd02.zip
- upd02.zip
- viupd02.zip
- wsd01.zip
- zupd02.zip
Распространение через email
Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
Код:
adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xmlИгнорируется отправка писем на адреса, содержащие следующие строки:
Код:
@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzipЧервь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Shar» с именами выбираемыми из списка:
- 1.exe
- 2.exe
- 3.exe
- 4.exe
- 5.scr
- 6.exe
- 7.exe
- 8.exe
- 9.exe
- 10.exe
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Matrix 3 Revolution English Subtitles.exe
- Opera 8 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- XXX hardcore images.exe