Email-Worm.Win32.Bagle.ef
Po uruchomieniu robak kopiuje si臋 do foldera systemowego z nazw膮 hloader_exe.exe i tworzy w rejestrze klucz zapewniaj膮cy mu uruchamianie wraz z ka偶dym startem systemu Windows:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"auto_hloader_key" = "%System%hloader_exe.exe"
Dodatkowo, szkodnik tworzy w folderze systemu Windows plik hleader_dll.dll o rozmiarze 8 192 bajt贸w.
Ta wersja nie posiada funkcji samodzielnego rozprzestrzeniania si臋 i zosta艂a rozes艂ana przy u偶yciu technik spamowych.
Robak zawiera list臋 adres贸w URL wykorzystywanych do pobierania rozmaitych plik贸w. W ten spos贸b robak mo偶e instalowa膰 w systemie inne szkodliwe programy i uaktualnia膰 w艂asny kod.
Oto lista adres贸w URL wykorzystywanych przez robaka:
http://1st-new-orleans-hotels.com http://202.44.52.38 http://209.126.128.203 http://25kadr.org http://65.108.195.73 http://757555.ru http://80.146.233.41 http://abtechsafety.com http://abtechsafety.com http://acentrum.pl http://adavenue.net http://adoptionscanada.ca http://adventecgroup.com http://africa-tours.de http://agenciaspublicidadinternet.com http://ahava.cafe24.com http://aibsnlea.org http://aikidan.com http://ala-bg.net http://alevibirligi.ch http://alfaclassic.sk http://allanconi.it http://allinfo.com.au http://americasenergyco.com http://amerykaameryka.com http://amistra.com http://analisisyconsultoria.com http://av2026.comex.ru http://calamarco.com http://ccooaytomadrid.org http://charlies-truckerpage.de http://drinkwater.ru http://eleceltek.com http://furdoszoba.info http://home.1000km.ru http://kepter.kz http://lifejacks.de http://mijusungdo.net http://oklens.co.jp http://phrmg.org http://s89.tku.edu.tw http://sacafterdark.net http://sarancha.ru http://template.nease.net http://tkdami.net http://virt33.kei.pl http://wunderlampe.com http://www.8ingatlan.hu http://www.a2zhostings.com http://www.abavitis.hu http://www.adamant-np.ru http://www.agroturystyka.artneo.pl http://www.americarising.com http://www.aro-tec.com http://www.barth.serwery.pl http://www.bmswijndepot.com http://www.etwas-mode.de http://www.leap.co.il http://www.OTT-INSIDE.de http://www.rewardst.com http://www.stanislawkowalczyk.netstrefa.com http://www.timecontrol.com.pl http://www.ubu.pl
Robak tworzy w folderze g艂贸wnym systemu Windows katalog o nazwie exefld i zapisuje w nim wszystkie pliki 艣ci膮gane z Internetu.