Security Lab

Email-Worm.Win32.Bagle.bo

Email-Worm.Win32.Bagle.bo

Данная модификация червя была разослана по спам-рассылке и по своему функционалу практически повторяет версию Bagle.bj и некоторые модификации из детекшена Bagle.pac.

Email-Worm.Win32.Bagle.bo («Лаборатория Касперского») также известен как: W32/Bagle.dll.gen (McAfee), Trojan.Tooso (Symantec), Win32.HLLM.Beagle.36352 (Doctor Web), Troj/BagDl-Gen (Sophos), TROJ_BAGLE.AR (Trend Micro), TR/Dldr.Bagle.BR.4 (H+BEDV), Win32.Bagle.BO@mm (SOFTWIN), Worm.Bagle.BB-gen (ClamAV), Suspect File (Panda), Win32/TrojanDownloader.Small.ZL (Eset)

Данная модификация червя была разослана по спам-рассылке и по своему функционалу практически повторяет версию Bagle.bj и некоторые модификации из детекшена Bagle.pac.

Зараженные письма либо имеют пустое поле темы и не имеют тела письма, либо содержат произвольный текст и имя вложения. Тело червя прикреплено к письму в виде аттача — ZIP-файла размером около 17 КБ.

Данная вредоносная программа состоит из нескольких компонентов (все они детектятся Антивирусом Касперского под именем Email-Worm.Win32.Bagle.bo).

При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:

  
  %System%\winshost.exe
  %System%\wiwshost.exe

Затем червь регистрирует себя в ключе автозапуска системного реестра:

  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "winshost.exe"="%System%\winshost.exe"

Распространение

Данная модификация червя самостоятельно не размножается. Она была разослана по спам-рассылке.

Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы. Действие

Червь изменяет файл %System%\drivers\etc\hosts и дописывает в него приведенный ниже текст, закрывая доступ к перечисленным в нем сайтам.

  
  127.0.0.1 ad.doubleclick.net
  127.0.0.1 ad.fastclick.net
  127.0.0.1 ads.fastclick.net
  127.0.0.1 ar.atwola.com
  127.0.0.1 atdmt.com
  127.0.0.1 avp.ch
  127.0.0.1 avp.com
  127.0.0.1 avp.com
  127.0.0.1 avp.ru
  127.0.0.1 awaps.net
  127.0.0.1 banner.fastclick.net
  127.0.0.1 banners.fastclick.net
  127.0.0.1 ca.com
  127.0.0.1 ca.com
  127.0.0.1 click.atdmt.com
  127.0.0.1 clicks.atdmt.com
  127.0.0.1 customer.symantec.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 download.microsoft.com
  127.0.0.1 downloads.microsoft.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 downloads1.kaspersky-labs.com/updates
  127.0.0.1 downloads2.kaspersky-labs.com
  127.0.0.1 downloads3.kaspersky-labs.com
  127.0.0.1 downloads4.kaspersky-labs.com
  127.0.0.1 downloads-us1.kaspersky-labs.com
  127.0.0.1 downloads-us2.kaspersky-labs.com
  127.0.0.1 downloads-us3.kaspersky-labs.com
  127.0.0.1 engine.awaps.net
  127.0.0.1 fastclick.net
  127.0.0.1 f-secure.com
  127.0.0.1 f-secure.com
  127.0.0.1 ftp.avp.ch
  127.0.0.1 ftp.downloads2.kaspersky-labs.com
  127.0.0.1 ftp.f-secure.com
  127.0.0.1 ftp.kasperskylab.ru
  127.0.0.1 ftp.sophos.com
  127.0.0.1 go.microsoft.com
  127.0.0.1 ids.kaspersky-labs.com
  127.0.0.1 kaspersky.com
  127.0.0.1 kaspersky-labs.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 localhost
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 media.fastclick.net
  127.0.0.1 msdn.microsoft.com
  127.0.0.1 my-etrust.com
  127.0.0.1 my-etrust.com
  127.0.0.1 nai.com
  127.0.0.1 nai.com
  127.0.0.1 networkassociates.com
  127.0.0.1 networkassociates.com
  127.0.0.1 office.microsoft.com
  127.0.0.1 phx.corporate-ir.net
  127.0.0.1 rads.mcafee.com
  127.0.0.1 secure.nai.com
  127.0.0.1 secure.nai.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 service1.symantec.com
  127.0.0.1 sophos.com
  127.0.0.1 sophos.com
  127.0.0.1 spd.atdmt.com
  127.0.0.1 support.microsoft.com
  127.0.0.1 symantec.com
  127.0.0.1 symantec.com
  127.0.0.1 trendmicro.com
  127.0.0.1 update.symantec.com
  127.0.0.1 update.symantec.com
  127.0.0.1 update.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 updates1.kaspersky-labs.com
  127.0.0.1 updates1.kaspersky-labs.com
  127.0.0.1 updates2.kaspersky-labs.com
  127.0.0.1 updates3.kaspersky-labs.com
  127.0.0.1 updates3.kaspersky-labs.com/updates
  127.0.0.1 updates4.kaspersky-labs.com
  127.0.0.1 updates5.kaspersky-labs.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 vil.nai.com
  127.0.0.1 viruslist.com
  127.0.0.1 viruslist.ru
  127.0.0.1 windowsupdate.microsoft.com
  127.0.0.1 www.avp.ch
  127.0.0.1 www.avp.com
  127.0.0.1 www.avp.com
  127.0.0.1 www.avp.ru
  127.0.0.1 www.awaps.net
  127.0.0.1 www.ca.com
  127.0.0.1 www.ca.com
  127.0.0.1 www.fastclick.net
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.grisoft.com
  127.0.0.1 www.kaspersky.com
  127.0.0.1 www.kaspersky.ru
  127.0.0.1 www.kaspersky.ru
  127.0.0.1 www.kaspersky-labs.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 www.nai.com
  127.0.0.1 www.nai.com
  127.0.0.1 www.networkassociates.com
  127.0.0.1 www.networkassociates.com
  127.0.0.1 www.sophos.com
  127.0.0.1 www.sophos.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.viruslist.com
  127.0.0.1 www.viruslist.ru
  127.0.0.1 www3.ca.com

С целью блокирования запуска антивирусов и межсетевых экранов червь удаляет следующие ключи реестра: 

  [HKLM\SOFTWARE\Agnitum]
  [HKLM\SOFTWARE\KasperskyLab]
  [HKLM\SOFTWARE\McAfee]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\APVXDWIN]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\avg7_cc]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\avg7_emc]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\ccApp]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\KAV50]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\McAfee Guardian]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\McAfee.InstantUpdate.Monitor]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\NAV CfgWiz]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\SSC_UserPrompt]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\Symantec NetDriver Monitor]
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run\Zone Labs Client]
  [HKLM\SOFTWARE\Panda Software]
  [HKLM\SOFTWARE\Symantec]
  [HKLM\SOFTWARE\Zone Labs]

Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь