Email-Worm.Win32.Bagle.ay

Email-Worm.Win32.Bagle.ay («Лаборатория Касперского») также известен как: W32.Beagle.AZ@mm (Symantec), Win32.HLLM.Beagle.18336 (Doctor Web), W32/Bagle-BK (Sophos), Win32/Bagle.BE@mm (RAV), WORM_BAGLE.AZ (Trend Micro), Worm/Bagle.AX.var (H+BEDV), W32/Bagle.BC@mm (FRISK), Win32.Bagle.AY@mm (SOFTWIN), Trojan.Downloader.Small-165 (ClamAV), W32/Bagle.BL.worm (Panda), Win32/Bagle.AX (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Написан на языке C. Запакован исправленной версией PEX. Размер упакованного файла - 19КБ. Распакованного - около 69КБ.

Содержит защиту от повторных запусков, т.е. в системе всегда присутствует только один процесс активного червя. Для этого червем создается мьютекс "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D".

Удаляет следующие ключи из реестра:

  
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run]
   "My AV"

Инсталляция

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

После активизации копирует себя в системный каталог Windows под именами:

  
      * sysformat.exe
      * sysformat.exeopen
      * sysformat.exeopenopen 
  

Прописывает файл sysformat.exe в ключ автозапуска:

  
  [...\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run]

Содержит функцию Trojan-Downloader - скачивает файл error.jpg с нескольких десятков адресов и устанавливает его в системный каталог Windows под именем re_file.exe.

Распространение через email

Червь ищет на диске файлы с расширениями из нижеприведенного списка и рассылает себя по найденным в них адресам электронной почты:

  
      * adb
      * asp
      * cfg
      * cgi
      * dbx
      * dhtm
      * eml
      * htm
      * jsp
      * mbx 
  
  	
  
      * mdx
      * mht
      * mmf
      * msg
      * nch
      * ods
      * oft
      * php
      * pl
      * sht 
  
  	
  
      * shtm
      * stm
      * tbb
      * txt
      * uin
      * wab
      * wsh
      * xls
      * xml 

Червь проверяет каждый найденный электронный адрес на предмет наличия в нем подстрок:

      * @avp.
      * @foo
      * @iana
      * @messagelab
      * @microsoft
      * abuse
      * admin
      * anyone@
      * bsd
      * bugs@
      * cafee
      * certific
      * contract@
      * feste
      * free-av 
  
  	
  
      * f-secur
      * gold-certs@
      * google
      * help@
      * icrosoft
      * info@
      * kasp
      * linux
      * listserv
      * local
      * news
      * nobody@
      * noone@
      * noreply
      * ntivi 
  
  	
  
      * panda
      * pgp
      * postmaster@
      * rating@
      * root@
      * samples
      * sopho
      * spam
      * support
      * unix
      * update
      * winrar
      * winzip 
  

Если такая подстрока присутствует, то червь себя не отправляет по найденному адресу.

Для рассылки писем использует собственный SMTP-движок.

Характеристики зараженных писем

Пример зараженного письма

Заголовок письма:

Выбирается из следующих:

  
      * Delivery service mail
      * Delivery by mail
      * Is delivered mail
      * Registration is accepted
      * You are made active 

Текст письма:

Выбирается из следующих:

  
      * Before use read the help
      * Thanks for use of our software. 

Имя вложения:

Выбирается из следующих:

  
      * guupd02
      * Jol03
      * siupd02
      * upd02
      * viupd02
      * wsd01
      * zupd02 

Размножение через файлообменные сети

Червь осуществляет поиск на диске каталогов, содержащих строку "shar". Если такие каталоги найдены, то в них червь выкладывает свое тело в файлы со следующими именами:

  
      * 1.exe
      * 10.exe
      * 2.exe
      * 3.exe
      * 4.exe
      * 5.scr
      * 6.exe
      * 7.exe
      * 8.exe
      * 9.exe
      * ACDSee 9.exe
      * Adobe Photoshop 9 full.exe
      * Ahead Nero 7.exe
      * Matrix 3 Revolution English Subtitles.exe
      * Opera 8 New!.exe
      * WinAmp 5 Pro Keygen Crack Update.exe
      * WinAmp 6 New!.exe
      * Windown Longhorn Beta Leak.exe
      * XXX hardcore images.exe 

Таким образом, он получает распространение через разделяемые ресурсы и P2P-сети.

Действие

При активизации червь уничтожает следующие процессы, осуществляющие персональную защиту компьютера и локальных подсетей:

      * alogserv.exe
      * APVXDWIN.EXE
      * ATUPDATER.EXE
      * ATUPDATER.EXE
      * AUPDATE.EXE
      * AUTODOWN.EXE
      * AUTOTRACE.EXE
      * AUTOUPDATE.EXE
      * Avconsol.exe
      * AVENGINE.EXE
      * AVPUPD.EXE
      * Avsynmgr.exe
      * AVWUPD32.EXE
      * AVXQUAR.EXE
      * AVXQUAR.EXE
      * bawindo.exe
      * blackd.exe
      * ccApp.exe
      * ccEvtMgr.exe
      * ccProxy.exe
      * ccPxySvc.exe 
  
  	
  
      * CFIAUDIT.EXE
      * DefWatch.exe
      * DRWEBUPW.EXE
      * ESCANH95.EXE
      * ESCANHNT.EXE
      * FIREWALL.EXE
      * FrameworkService.exe
      * ICSSUPPNT.EXE
      * ICSUPP95.EXE
      * LUALL.EXE
      * LUCOMS~1.EXE
      * mcagent.exe
      * mcshield.exe
      * MCUPDATE.EXE
      * mcvsescn.exe
      * mcvsrte.exe
      * mcvsshld.exe
      * navapsvc.exe
      * navapsvc.exe
      * navapsvc.exe
      * navapw32.exe 
  
  	
  
      * NISUM.EXE
      * nopdb.exe
      * NPROTECT.EXE
      * NPROTECT.EXE
      * NUPGRADE.EXE
      * NUPGRADE.EXE
      * OUTPOST.EXE
      * PavFires.exe
      * pavProxy.exe
      * pavsrv50.exe
      * Rtvscan.exe
      * RuLaunch.exe
      * SAVScan.exe
      * SHSTAT.EXE
      * SNDSrvc.exe
      * symlcsvc.exe
      * UPDATE.EXE
      * UpdaterUI.exe
      * Vshwin32.exe
      * VsStat.exe
      * VsTskMgr.exe