Email-Worm.Win32.Bagle.ay

Jest to robak rozprzestrzeniaj膮cy si臋 przez Internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail oraz za po艣rednictwem sieci wymiany plik贸w oraz przy u偶yciu udost臋pnionych zasob贸w sieciowych. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 19 KB (kompresja PEX, rozmiar po rozpakowaniu - oko艂o 69 KB.

Robak tworzy w pami臋ci unikatowy identyfikator MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D. Zapewnia to mo偶liwo艣膰 uruchomienia tylko jednej kopii szkodnika w danej chwili.

Szkodnik usuwa warto艣膰 My AV z nast臋puj膮cych kluczy rejestru:

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

Instalacja

Robak aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi zainfekowany plik.

Szkodnik kopiuje si臋 do foldera WindowsSystem z nast臋puj膮cymi nazwami:

sysformat.exe
sysformat.exeopen
sysformat.exeopenopen

Dla kopii sysformat.exe w rejestrze systemowym tworzony jest klucz auto-run, co zapewnia robakowi uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[SOFTWAREMicrosoftWindowsCurrentVersionRun]

Szkodnik dzia艂a tak偶e jako Trojan downloader - pobiera z okre艣lonych adres贸w URL plik error.jpg i zapisuje go w folderze WindowsSystem z nazw膮 re_file.exe.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wsh
.xls
.xml
.wab

Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:

@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@.
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

W celu wysy艂ania wiadomo艣ci robak wykorzystuje w艂asny silnik SMTP.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Temat (wybierany z poni偶szych mo偶liwo艣ci):
    Delivery service mail 
    Delivery by mail 
    Is delivered mail 
    Registration is accepted 
    You are made active
    
  • Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
    Before use read the help
    Thanks for use of our software
    
  • Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
    guupd02
    Jol03
    siupd02
    upd02
    viupd02
    zupd02
    wsd01
    

Rozprzestrzenianie - sieci P2P oraz udost臋pnione zasoby sieciowe

Robak szuka folder贸w, kt贸rych nazwy zawieraj膮 s艂owo shar i umieszcza w nich w艂asne kopie z poni偶szymi nazwami:

1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Informacje dodatkowe

Bagle.ay zamyka nast臋puj膮ce procesy program贸w antywirusowych, zap贸r ogniowych oraz innych aplikacji zabezpieczaj膮cych:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe