Email-Worm.Win32.Bagle.bz, .ca, .cb, .cc
Wszystkie trzy robaki s膮 do siebie bardzo podobne, jednak u偶yto w nich innego pakowania. Wszystkie zawieraj膮 list臋 okresowo sprawdzanych adres贸w URL, pod kt贸rymi mog膮 by膰 umieszczane nowe wersje szkodnika, a tak偶e inne programy. Szkodniki pobieraj膮 te aplikacje i uruchamiaj膮 je na zainfekowanych komputerach.
Wst臋pna analiza wykazuje, 偶e
Po uruchomieniu robak wy艣wietla puste okno przy u偶yciu domy艣lnego edytora tesktu (najcz臋艣ciej jest to Notatnik systemu Windows).
Szkodnik tworzy w folderze systemowym pliki winshost.exe oraz wiwshost.exe oraz klucze rejestru zapewniaj膮ce mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winshost.exe" = "%System%winshost.exe"
Szkodnik usuwa nast臋puj膮ce klucze rejestru, w wyniku czego uruchomienie wielu program贸w antywirusowych i zap贸r ogniowych jest niemo偶liwe:
[HKLMSOFTWAREKasperskyLab]
[HKLMSOFTWAREMcAfee]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunccApp]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKAV50]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunone Labs Client]
[HKLMSOFTWAREPanda Software]
[HKLMSOFTWARESymantec]
[HKLMSOFTWAREone Labs]
Szkodnik zamyka szereg proces贸w zwi膮zanych z aplikacjami antywirusowymi i zaporami ogniowymi.
127.0.0.1 localhost
Eksperci z firmy Kaspersky Lab dodali ju偶 sygnatury nowych robak贸w do antywirusowych baz danych. Wszystkim u偶ytkownikom zaleca si臋 pobranie uaktualnie艅.