Email-Worm.Win32. Bagle.gt

Вирус-червь, распространяющийся в виде вложений в электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Представляет собой PE EXE-файл. Размер зараженного файла — 40565 байт.

Также вирус обладает функцией загрузки без ведома пользователя файлов из сети Интернет.

Инсталляция

При инсталляции червь создает скрытую папку:

  %Documents and Settings%\Application Data\hidn

Сюда он копирует свой исполняемый файл под следующими именами:

  %Documents and Settings%\Application Data\hidn\hidn2.exe
  
  %Documents and Settings%\Application Data\hidn\hldrrr.exe

Вредоносная программа добавляет ссылку на данный файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key" = "%Documents and Settings%\Application Data\hidn\hidn2.exe"

Таким образом, червь будет автоматически запускаться при каждом новом старте Windows.

Вирус удаляет следующий ключ реестра с целью обеспечения невозможности загрузки системы в «безопасном режиме»:

[HKLM\System\CurrentControlSet\Control\SafeBoot]

Распространение через e-mail

Адреса для рассылки зараженных писем червь ищет на всех разделах жесткого диска в файлах, имеющих расширения:

.wab 
.txt 
.msg 
.htm 
.shtm 
.stm 
.xml 
.dbx 
.mbx 
.mdx 
.eml 
.nch 
.mmf 
.ods 
.cfg 
.asp 
.php 
.pl 
.wsh 
.adb 
.tbb 
.sht 
.xls 
.oft 
.uin 
.cgi 
.mht 
.dhtm 
.jsp

Данная модификация червя может загружать из Интернета файлы, содержащие адреса электронной почты будущих жертв. Список страниц, где размещены данные файлы, весьма объемен:

  http://www.tita***tors.com/images/1/eml.php
  http://veranm***ala.com/1/eml.php
  http://wkligh***azwa.pl/1/eml.php
  http://yon***n24.co.kr/1/eml.php
  http://acce***le.cl/1/eml.php
  http://hotel***lba.com/1/eml.php
  http://am***dy.com/1/eml.php
  http://inca.d***solution.net/1/eml.php
  http://www.aura***.com/1/eml.php
  http://avatare***atis.com/1/eml.php
  http://be***lu.com.tr/1/eml.php
  http://brand***ck.com/1/eml.php
  http://www.buy***ital.co.kr/1/eml.php
  http://cam***mafra.sc.gov.br/1/eml.php
  http://campos***ipamentos.com.br/1/eml.php
  http://cbr***o.sos.pl/1/eml.php
  http://c-***.com.au/1/eml.php
  http://www.***npl.com/1/eml.php
  http://coparefre***s.stantonstreetgroup.com/1/eml.php
  http://creai***ire.com/1/eml.php
  http://dese***i.com.br/1/eml.php
  http://www.in***file.gr/1/eml.php
  http://www.d***.cl/1/eml.php
  http://www.disco***apuzzle.com/1/eml.php
  

Все скачанные файлы сохраняется в корневом каталоге Windows:

%WinDir%\elist.xpt

Вирус рассылает зараженные письма по всем содержащимся в указанных файлах адресам электронной почты. Следует отметить, что при этом игнорируются адреса, где встречаются следующие подстроки:

rating@ 
f-secur 
news 
update 
anyone@ 
bugs@ 
contract@ 
feste 
gold-certs@ 
help@ 
info@ 
nobody@ 
noone@ 
kasp 
admin 
icrosoft 
support 
ntivi 
unix 
bsd 
linux 
listserv 
certific 
sopho 
@foo 
@iana 
free-av 
@messagelab 
winzip 
google 
winrar 
samples 
abuse 
panda 
cafee 
spam 
pgp 
@avp. 
noreply 
local 
root@ 
postmaster@

При рассылке зараженных сообщений червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Имя файла-вложения

Выбирается произвольным образом из списка:

  new_price.zip
  price.zip
  latest_price.zip

Деструктивная активность

Червь содержит в себе определенное количество URL-адресов, которые проверяются на наличие файлов:

http://ceramax.co.kr***
http://prime.gushi.org***
http://www.chapisteriadaniel.com***
http://charlesspaans.com***
http://chatsk.wz.cz***
http://www.chittychat.com***
http://checkalertusa.com***
http://cibernegocios.com.ar***
http://5050clothing.com***
http://cof666.shockonline.net***
http://comaxtechnologies.net***
http://concellodesandias.com***
http://www.cort.ru***
http://donchef.com***
http://www.crfj.com***
http://kremz.ru***
http://dev.jintek.com***
http://foxvcoin.com***
http://uwua132.org***
http://v-v-kopretiny.ic.cz***
http://erich-kaestner-schule-donaueschingen.de***
http://vanvakfi.com***
http://axelero.hu***
http://kisalfold.com***
http://vega-sps.com***
http://vidus.ru***
http://viralstrategies.com***
http://svatba.viskot.cz***
http://Vivamodelhobby.com***
http://vkinfotech.com***
http://vytukas.com***
http://waisenhaus-kenya.ch***
http://watsrisuphan.org***
http://www.ag.ohio-state.edu***
http://wbecanada.com***
http://calamarco.com***
http://vproinc.com***
http://grupdogus.de***
http://knickimbit.de***
http://dogoodesign.ch***
http://systemforex.de***
http://zebrachina.net***
http://www.walsch.de***
http://hotchillishop.de***
http://innovation.ojom.net***
http://massgroup.de***
http://web-comp.hu***
http://webfull.com***
http://welvo.com***
http://www.ag.ohio-state.edu***
http://poliklinika-vajnorska.sk***
http://wvpilots.org***
http://www.kersten.de***
http://www.kljbwadersloh.de***
http://www.voov.de***
http://www.wchat.cz***
http://www.wg-aufbau-bautzen.de***
http://www.wzhuate.com***
http://zsnabreznaknm.sk***
http://xotravel.ru***
http://ilikesimple.com***
http://yeniguntugla.com***

В случае если по какому-то из указанных адресов располагается файл, он будет загружен в систему, сохранен в системном каталоге Windows: («%System%\re_file.exe») и запущен на исполнение.