Данная модификация червя была разослана по спам-рассылке и по своему функционалу практически повторяет версию Bagle.bj и некоторые модификации из детекшена Bagle.pac.
Данная модификация червя была разослана по спам-рассылке и по своему функционалу практически повторяет версию Bagle.bj и некоторые модификации из детекшена Bagle.pac.
Зараженные письма либо имеют пустое поле темы и не имеют тела письма, либо содержат произвольный текст и имя вложения. Тело червя прикреплено к письму в виде аттача — ZIP-файла размером около 17 КБ.
Данная вредоносная программа состоит из нескольких компонентов (все они детектятся Антивирусом Касперского под именем Email-Worm.Win32.Bagle.bo).
При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:
%System%\winshost.exe %System%\wiwshost.exe
Затем червь регистрирует себя в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winshost.exe"="%System%\winshost.exe"
Распространение
Данная модификация червя самостоятельно не размножается. Она была разослана по спам-рассылке.
Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы. Действие
Червь изменяет файл %System%\drivers\etc\hosts и дописывает в него приведенный ниже текст, закрывая доступ к перечисленным в нем сайтам.
127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com 127.0.0.1 avp.com 127.0.0.1 avp.ru 127.0.0.1 awaps.net 127.0.0.1 banner.fastclick.net 127.0.0.1 banners.fastclick.net 127.0.0.1 ca.com 127.0.0.1 ca.com 127.0.0.1 click.atdmt.com 127.0.0.1 clicks.atdmt.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.microsoft.com 127.0.0.1 downloads.microsoft.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com/updates 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads-us2.kaspersky-labs.com 127.0.0.1 downloads-us3.kaspersky-labs.com 127.0.0.1 engine.awaps.net 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 ftp.avp.ch 127.0.0.1 ftp.downloads2.kaspersky-labs.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.kasperskylab.ru 127.0.0.1 ftp.sophos.com 127.0.0.1 go.microsoft.com 127.0.0.1 ids.kaspersky-labs.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 localhost 127.0.0.1 mast.mcafee.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 media.fastclick.net 127.0.0.1 msdn.microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 office.microsoft.com 127.0.0.1 phx.corporate-ir.net 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 sophos.com 127.0.0.1 spd.atdmt.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 updates2.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com/updates 127.0.0.1 updates4.kaspersky-labs.com 127.0.0.1 updates5.kaspersky-labs.com 127.0.0.1 us.mcafee.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.ru 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.awaps.net 127.0.0.1 www.ca.com 127.0.0.1 www.ca.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.viruslist.ru 127.0.0.1 www3.ca.com
С целью блокирования запуска антивирусов и межсетевых экранов червь удаляет следующие ключи реестра:
[HKLM\SOFTWARE\Agnitum] [HKLM\SOFTWARE\KasperskyLab] [HKLM\SOFTWARE\McAfee] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\APVXDWIN] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\avg7_cc] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\avg7_emc] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\ccApp] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\KAV50] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\McAfee Guardian] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\McAfee.InstantUpdate.Monitor] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\NAV CfgWiz] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\SSC_UserPrompt] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\Symantec NetDriver Monitor] [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\Zone Labs Client] [HKLM\SOFTWARE\Panda Software] [HKLM\SOFTWARE\Symantec] [HKLM\SOFTWARE\Zone Labs]
Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.
Лечим цифровую неграмотность без побочных эффектов