Email-Worm.Win32.Bagle.bo

Ten robak pocztowy jest niemal identyczny jak Bagle.bj oraz kilka wersji wykrywanych przez wsp贸ln膮 sygnatur臋 Bagle.pac. Bagle.bo zosta艂 rozes艂any przy u偶yciu technik spamowych i ma posta膰 za艂膮cznika zainfekowanych wiadomo艣ci e-mail o pustym temacie i tre艣ci (lub z losowymi tekstami). Za艂膮cznik ma posta膰 archiwum ZIP (z losow膮 nazw膮) o rozmiarze oko艂o 17 KB. Kod robaka sk艂ada si臋 z kilku komponent贸w, z kt贸rych wszystkie wykrywane s膮 jako Email-Worm.Win32.Bagle.bo.

Instalacja

Podczas instalacji robak tworzy nast臋puj膮ce pliki:

%System%winshost.exe
%System%wiwshost.exe

i dodaje do rejestru systemowego klucze zapewniaj膮ce mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winshost.exe" = "%System%winshost.exe"

Rozprzestrzenianie

Bagle.bo nie mo偶e si臋 samodzielnie rozprzestrzenia膰 - jest rozsy艂any przy u偶yciu technik spamowych.

W kodzie robaka zapisana jest d艂uga lista adres贸w URL, na kt贸rych szkodnik poszukuje plik贸w. Pliki takie s膮 pobierane i uruchamiane na zainfekowanym komputerze. Oznacza to, 偶e robak mo偶e si臋 uaktualnia膰 lub instalowa膰 inne szkodliwe programy.

Funkcje dodatkowe

Bagle.bo zmienia zawarto艣膰 pliku %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 poni偶szych stron WWW:

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com/updates
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.avp.ch
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.kasperskylab.ru
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 localhost
127.0.0.1 mast.mcafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com/updates
127.0.0.1 updates4.kaspersky-labs.com
127.0.0.1 updates5.kaspersky-labs.com
127.0.0.1 us.mcafee.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com

Szkodnik uniemo偶liwia uruchamianie wielu program贸w antywirusowych poprzez modyfikacj臋 nast臋puj膮cych kluczy rejestru systemowego:

  • [HKLMSOFTWAREAgnitum]
  • [HKLMSOFTWAREKasperskyLab]
  • [HKLMSOFTWAREMcAfee]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunccApp]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKAV50]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor]
  • [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunone Labs Client]
  • [HKLMSOFTWAREPanda Software]
  • [HKLMSOFTWARESymantec]
  • [HKLMSOFTWAREone Labs]

Ponadto Bagle.bo zamyka procesy zwi膮zane z programami antywirusowymi oraz z zaporami ogniowymi.