Security Lab

Email-Worm.Win32. Bagle.gt

Email-Worm.Win32. Bagle.gt

Вирус-червь, распространяющийся в виде вложений в электронные письма.

Вирус-червь, распространяющийся в виде вложений в электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Представляет собой PE EXE-файл. Размер зараженного файла — 40565 байт.

Также вирус обладает функцией загрузки без ведома пользователя файлов из сети Интернет.

Инсталляция

При инсталляции червь создает скрытую папку:

  %Documents and Settings%\Application Data\hidn

Сюда он копирует свой исполняемый файл под следующими именами:

  %Documents and Settings%\Application Data\hidn\hidn2.exe
  
  %Documents and Settings%\Application Data\hidn\hldrrr.exe

Вредоносная программа добавляет ссылку на данный файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key" = "%Documents and Settings%\Application Data\hidn\hidn2.exe"

Таким образом, червь будет автоматически запускаться при каждом новом старте Windows.

Вирус удаляет следующий ключ реестра с целью обеспечения невозможности загрузки системы в «безопасном режиме»:

[HKLM\System\CurrentControlSet\Control\SafeBoot]

Распространение через e-mail

Адреса для рассылки зараженных писем червь ищет на всех разделах жесткого диска в файлах, имеющих расширения:

.wab 
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Данная модификация червя может загружать из Интернета файлы, содержащие адреса электронной почты будущих жертв. Список страниц, где размещены данные файлы, весьма объемен:

  http://www.tita***tors.com/images/1/eml.php
  http://veranm***ala.com/1/eml.php
  http://wkligh***azwa.pl/1/eml.php
  http://yon***n24.co.kr/1/eml.php
  http://acce***le.cl/1/eml.php
  http://hotel***lba.com/1/eml.php
  http://am***dy.com/1/eml.php
  http://inca.d***solution.net/1/eml.php
  http://www.aura***.com/1/eml.php
  http://avatare***atis.com/1/eml.php
  http://be***lu.com.tr/1/eml.php
  http://brand***ck.com/1/eml.php
  http://www.buy***ital.co.kr/1/eml.php
  http://cam***mafra.sc.gov.br/1/eml.php
  http://campos***ipamentos.com.br/1/eml.php
  http://cbr***o.sos.pl/1/eml.php
  http://c-***.com.au/1/eml.php
  http://www.***npl.com/1/eml.php
  http://coparefre***s.stantonstreetgroup.com/1/eml.php
  http://creai***ire.com/1/eml.php
  http://dese***i.com.br/1/eml.php
  http://www.in***file.gr/1/eml.php
  http://www.d***.cl/1/eml.php
  http://www.disco***apuzzle.com/1/eml.php
  

Все скачанные файлы сохраняется в корневом каталоге Windows:

%WinDir%\elist.xpt

Вирус рассылает зараженные письма по всем содержащимся в указанных файлах адресам электронной почты. Следует отметить, что при этом игнорируются адреса, где встречаются следующие подстроки:

rating@ 
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

При рассылке зараженных сообщений червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Имя файла-вложения

Выбирается произвольным образом из списка:

  new_price.zip
  price.zip
  latest_price.zip

Деструктивная активность

Червь содержит в себе определенное количество URL-адресов, которые проверяются на наличие файлов:

http://ceramax.co.kr***
http://prime.gushi.org***
http://www.chapisteriadaniel.com***
http://charlesspaans.com***
http://chatsk.wz.cz***
http://www.chittychat.com***
http://checkalertusa.com***
http://cibernegocios.com.ar***
http://5050clothing.com***
http://cof666.shockonline.net***
http://comaxtechnologies.net***
http://concellodesandias.com***
http://www.cort.ru***
http://donchef.com***
http://www.crfj.com***
http://kremz.ru***
http://dev.jintek.com***
http://foxvcoin.com***
http://uwua132.org***
http://v-v-kopretiny.ic.cz***
http://erich-kaestner-schule-donaueschingen.de***
http://vanvakfi.com***
http://axelero.hu***
http://kisalfold.com***
http://vega-sps.com***
http://vidus.ru***
http://viralstrategies.com***
http://svatba.viskot.cz***
http://Vivamodelhobby.com***
http://vkinfotech.com***
http://vytukas.com***
http://waisenhaus-kenya.ch***
http://watsrisuphan.org***
http://www.ag.ohio-state.edu***
http://wbecanada.com***
http://calamarco.com***
http://vproinc.com***
http://grupdogus.de***
http://knickimbit.de***
http://dogoodesign.ch***
http://systemforex.de***
http://zebrachina.net***
http://www.walsch.de***
http://hotchillishop.de***
http://innovation.ojom.net***
http://massgroup.de***
http://web-comp.hu***
http://webfull.com***
http://welvo.com***
http://www.ag.ohio-state.edu***
http://poliklinika-vajnorska.sk***
http://wvpilots.org***
http://www.kersten.de***
http://www.kljbwadersloh.de***
http://www.voov.de***
http://www.wchat.cz***
http://www.wg-aufbau-bautzen.de***
http://www.wzhuate.com***
http://zsnabreznaknm.sk***
http://xotravel.ru***
http://ilikesimple.com***
http://yeniguntugla.com***

В случае если по какому-то из указанных адресов располагается файл, он будет загружен в систему, сохранен в системном каталоге Windows: («%System%\re_file.exe») и запущен на исполнение.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!