Email-Worm.Win32.Bagle.bo
Podczas instalacji robak tworzy nast臋puj膮ce pliki:
%System%winshost.exe %System%wiwshost.exe
i dodaje do rejestru systemowego klucze zapewniaj膮ce mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winshost.exe" = "%System%winshost.exe"
Bagle.bo nie mo偶e si臋 samodzielnie rozprzestrzenia膰 - jest rozsy艂any przy u偶yciu technik spamowych.
W kodzie robaka zapisana jest d艂uga lista adres贸w URL, na kt贸rych szkodnik poszukuje plik贸w. Pliki takie s膮 pobierane i uruchamiane na zainfekowanym komputerze. Oznacza to, 偶e robak mo偶e si臋 uaktualnia膰 lub instalowa膰 inne szkodliwe programy.
Bagle.bo zmienia zawarto艣膰 pliku %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 poni偶szych stron WWW:
127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com 127.0.0.1 avp.com 127.0.0.1 avp.ru 127.0.0.1 awaps.net 127.0.0.1 banner.fastclick.net 127.0.0.1 banners.fastclick.net 127.0.0.1 ca.com 127.0.0.1 ca.com 127.0.0.1 click.atdmt.com 127.0.0.1 clicks.atdmt.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.microsoft.com 127.0.0.1 downloads.microsoft.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com/updates 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads-us2.kaspersky-labs.com 127.0.0.1 downloads-us3.kaspersky-labs.com 127.0.0.1 engine.awaps.net 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 ftp.avp.ch 127.0.0.1 ftp.downloads2.kaspersky-labs.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.kasperskylab.ru 127.0.0.1 ftp.sophos.com 127.0.0.1 go.microsoft.com 127.0.0.1 ids.kaspersky-labs.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 localhost 127.0.0.1 mast.mcafee.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 media.fastclick.net 127.0.0.1 msdn.microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 office.microsoft.com 127.0.0.1 phx.corporate-ir.net 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 sophos.com 127.0.0.1 spd.atdmt.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 updates2.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com/updates 127.0.0.1 updates4.kaspersky-labs.com 127.0.0.1 updates5.kaspersky-labs.com 127.0.0.1 us.mcafee.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.ru 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.awaps.net 127.0.0.1 www.ca.com 127.0.0.1 www.ca.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.viruslist.ru 127.0.0.1 www3.ca.com
Szkodnik uniemo偶liwia uruchamianie wielu program贸w antywirusowych poprzez modyfikacj臋 nast臋puj膮cych kluczy rejestru systemowego:
Ponadto Bagle.bo zamyka procesy zwi膮zane z programami antywirusowymi oraz z zaporami ogniowymi.