Email-Worm.Win32.Bagle.ef

Jest to modyfikacja robaka Bagle. Szkodnik nie ma mo偶liwo艣ci samodzielnego rozprzestrzeniania si臋. Zosta艂 rozes艂any w wiadomo艣ciach spamowych. Szkodnik dociera do potencjalnej ofiary jako archiwum ZIP o rozmiarze oko艂o 5 KB. Archiwum zawiera plik PE EXE t_535475.exe o rozmiarze 13 312 bajt贸w.

Instalacja

Po uruchomieniu robak kopiuje si臋 do foldera systemowego z nazw膮 hloader_exe.exe i tworzy w rejestrze klucz zapewniaj膮cy mu uruchamianie wraz z ka偶dym startem systemu Windows:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"auto_hloader_key" = "%System%hloader_exe.exe"

Dodatkowo, szkodnik tworzy w folderze systemu Windows plik hleader_dll.dll o rozmiarze 8 192 bajt贸w.

Rozprzestrzenianie

Ta wersja nie posiada funkcji samodzielnego rozprzestrzeniania si臋 i zosta艂a rozes艂ana przy u偶yciu technik spamowych.

Funkcja dodatkowa

Robak zawiera list臋 adres贸w URL wykorzystywanych do pobierania rozmaitych plik贸w. W ten spos贸b robak mo偶e instalowa膰 w systemie inne szkodliwe programy i uaktualnia膰 w艂asny kod.

Oto lista adres贸w URL wykorzystywanych przez robaka:

http://1st-new-orleans-hotels.com
http://202.44.52.38
http://209.126.128.203
http://25kadr.org
http://65.108.195.73
http://757555.ru
http://80.146.233.41
http://abtechsafety.com
http://abtechsafety.com
http://acentrum.pl
http://adavenue.net
http://adoptionscanada.ca
http://adventecgroup.com
http://africa-tours.de
http://agenciaspublicidadinternet.com
http://ahava.cafe24.com
http://aibsnlea.org
http://aikidan.com
http://ala-bg.net
http://alevibirligi.ch
http://alfaclassic.sk
http://allanconi.it
http://allinfo.com.au
http://americasenergyco.com
http://amerykaameryka.com
http://amistra.com
http://analisisyconsultoria.com
http://av2026.comex.ru
http://calamarco.com
http://ccooaytomadrid.org
http://charlies-truckerpage.de
http://drinkwater.ru
http://eleceltek.com
http://furdoszoba.info
http://home.1000km.ru
http://kepter.kz
http://lifejacks.de
http://mijusungdo.net
http://oklens.co.jp
http://phrmg.org
http://s89.tku.edu.tw
http://sacafterdark.net
http://sarancha.ru
http://template.nease.net
http://tkdami.net
http://virt33.kei.pl
http://wunderlampe.com
http://www.8ingatlan.hu
http://www.a2zhostings.com
http://www.abavitis.hu
http://www.adamant-np.ru
http://www.agroturystyka.artneo.pl
http://www.americarising.com
http://www.aro-tec.com
http://www.barth.serwery.pl
http://www.bmswijndepot.com
http://www.etwas-mode.de
http://www.leap.co.il
http://www.OTT-INSIDE.de
http://www.rewardst.com
http://www.stanislawkowalczyk.netstrefa.com
http://www.timecontrol.com.pl
http://www.ubu.pl

Robak tworzy w folderze g艂贸wnym systemu Windows katalog o nazwie exefld i zapisuje w nim wszystkie pliki 艣ci膮gane z Internetu.