Email-Worm.Win32.Bagle.bz, .ca, .cb, .cc

Eksperci z laboratorium antywirusowego firmy Kaspersky Lab wykryli dzisiaj cztery nowe wersje robaka Bagle: Bagle.bz, Bagle.ca oraz Bagle.cb.

Wszystkie trzy robaki s膮 do siebie bardzo podobne, jednak u偶yto w nich innego pakowania. Wszystkie zawieraj膮 list臋 okresowo sprawdzanych adres贸w URL, pod kt贸rymi mog膮 by膰 umieszczane nowe wersje szkodnika, a tak偶e inne programy. Szkodniki pobieraj膮 te aplikacje i uruchamiaj膮 je na zainfekowanych komputerach.

Wst臋pna analiza wykazuje, 偶e Bagle.cc jest funkcjonalnie podobny do wersji Email-Worm.Win32.Bagle.bj. Jest on niezdolny do samodzielnego rozprzestrzeniania si臋 i zosta艂 masowo rozes艂any jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail przy u偶yciu technik spamowych. Zainfekowane wiadomo艣ci posiadaj膮 puste lub losowe pola tematu i tre艣ci. Za艂膮cznik posiada nazw臋 to_reduce_the_tax.zip i ma posta膰 pliku ZIP o rozmiarze oko艂o 18 KB.

Po uruchomieniu robak wy艣wietla puste okno przy u偶yciu domy艣lnego edytora tesktu (najcz臋艣ciej jest to Notatnik systemu Windows).

Szkodnik tworzy w folderze systemowym pliki winshost.exe oraz wiwshost.exe oraz klucze rejestru zapewniaj膮ce mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winshost.exe" = "%System%winshost.exe"

Szkodnik usuwa nast臋puj膮ce klucze rejestru, w wyniku czego uruchomienie wielu program贸w antywirusowych i zap贸r ogniowych jest niemo偶liwe:

[HKLMSOFTWAREAgnitum]
[HKLMSOFTWAREKasperskyLab]
[HKLMSOFTWAREMcAfee]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunccApp]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKAV50]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunone Labs Client]
[HKLMSOFTWAREPanda Software]
[HKLMSOFTWARESymantec]
[HKLMSOFTWAREone Labs]

Szkodnik zamyka szereg proces贸w zwi膮zanych z aplikacjami antywirusowymi i zaporami ogniowymi.

Bagle.cc modyfikuje plik %System%driversetchosts pozostawiaj膮c w nim tylko jeden wpis:

127.0.0.1 localhost 

Eksperci z firmy Kaspersky Lab dodali ju偶 sygnatury nowych robak贸w do antywirusowych baz danych. Wszystkim u偶ytkownikom zaleca si臋 pobranie uaktualnie艅.