Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл, размером от 19КБ и более.
Инсталляция
После запуска червь копирует себя в системный каталог Windows со следующими именами:
* %System%\sysformat.exe * %System%\sysformat.exeopen * %System%\sysformat.exeopenopen
Затем регистрирует себя в ключе автозапуска системного реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run] "Sysformat"="%System%\sysformat.exe"
Распространение через email
Червь ищет на диске файлы с расширениями:
* adb * asp * cfg * cgi * dbx * dhtm * eml * htm * jsp * mbx * mdx * mht * mmf * msg * nch * ods * oft * php * pl * sht * shtm * stm * tbb * txt * uin * wab * wsh * xls * xml
После чего рассылает себя по всем найденным в них адресам электронной почты.
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Игнорируется отправка писем на адреса, содержащие строки:
* @avp * @foo * @iana * @messagelab * @microsoft * abuse * admin * anyone@ * bsd * bugs@ * cafee * certific * contract@ * feste * free-av * f-secur * gold-certs@ * google * help@ * icrosoft * info@ * kasp * linux * listserv * local * news * nobody@ * noone@ * noreply * ntivi * panda * pgp * postmaster@ * rating@ * root@ * samples * sopho * spam * support * unix * update * winrar * winzip
Характеристики зараженных писем
Тема письма:
Выбирается из списка:
* Delivery by mail * Delivery service mail * Is delivered mail * Registration is accepted * You are made active
Текст письма:
Выбирается из списка:
* Before use read the help * Thanks for use of our software.
Имя файла-вложения:
Выбирается из списка:
<p> * guupd02 * Jol03 * siupd02 * upd02 * viupd02 * wsd01 * zupd02
Вложения могут иметь одно из расширений:
* com * cpl * exe * scr
Распространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии строку "Share" с именами, выбираемыми из списка:
* 1.exe * 10.exe * 2.exe * 3.exe * 4.exe * 5.scr * 6.exe * 7.exe * 8.exe * 9.exe * ACDSee 9.exe * Adobe Photoshop 9 full.exe * Ahead Nero 7.exe * Matrix 3 Revolution English Subtitles.exe * Opera 8 New!.exe * WinAmp 5 Pro Keygen Crack Update.exe * WinAmp 6 New!.exe * Windown Longhorn Beta Leak.exe * XXX hardcore images.exe
Прочее
Email-Worm.Win32.Bagle.ax пытается выгрузить из системы различные процессы, в именах которых содержатся следующие строки:
* alogserv.exe * APVXDWIN.EXE * ATUPDATER.EXE * ATUPDATER.EXE * AUPDATE.EXE * AUTODOWN.EXE * AUTOTRACE.EXE * AUTOUPDATE.EXE * Avconsol.exe * AVENGINE.EXE * AVPUPD.EXE * Avsynmgr.exe * AVWUPD32.EXE * AVXQUAR.EXE * AVXQUAR.EXE * bawindo.exe * blackd.exe * ccApp.exe * ccEvtMgr.exe * ccProxy.exe * ccPxySvc.exe * CFIAUDIT.EXE * DefWatch.exe * DRWEBUPW.EXE * ESCANH95.EXE * ESCANHNT.EXE * FIREWALL.EXE * FrameworkService.exe * ICSSUPPNT.EXE * ICSUPP95.EXE * LUALL.EXE * LUCOMS~1.EXE * mcagent.exe * mcshield.exe * MCUPDATE.EXE * mcvsescn.exe * mcvsrte.exe * mcvsshld.exe * navapsvc.exe * navapsvc.exe * navapsvc.exe * navapw32.exe * NISUM.EXE * nopdb.exe * NPROTECT.EXE * NPROTECT.EXE * NUPGRADE.EXE * NUPGRADE.EXE * OUTPOST.EXE * PavFires.exe * pavProxy.exe * pavsrv50.exe * Rtvscan.exe * RuLaunch.exe * SAVScan.exe * SHSTAT.EXE * SNDSrvc.exe * symlcsvc.exe * UPDATE.EXE * UpdaterUI.exe * Vshwin32.exe * VsStat.exe * VsTskMgr.exe
Но доступ к знаниям открыт для всех