Email-Worm.Win32.Bagle.t

Jest to klon robaka I-Worm.Bagle.s. Rozprzestrzenia si臋 przez internet, a jego rozmiar w bajtach to 8 208 (kompresja FSG, rozmiar po rozpakowaniu - oko艂o 37 KB). Zainfekowane wiadomo艣ci posiadaj膮 puste pole tematu oraz tre艣ci, natomiast w za艂膮czniku znajduje si臋 plik game.exe.

Zainfekowane wiadomo艣ci e-mail posiadaj膮 nast臋puj膮ce pola:

  • Adres nadawcy: losowy
  • Temat: losowy
  • Tre艣膰: pusta
  • Nazwa za艂膮cznika: game.exe

Instalacja

Robak kopiuje si臋 do folderu systemowego Windows z nazw膮 sysinfo.exe i tworzy w rejestrze systemowym klucz autorun. Szkodnik tworzy tak偶e klucz:

[HKEY_CURRENT_USERSOFTWAREWindows2005]

i rejestruje na porcie 4751 backdoora, kt贸ry mo偶e pos艂u偶y膰 do instalowania w zainfekowanym systemie innych szkodliwych program贸w.

Rozprzestrzenianie

Podobnie jak Bagle.s, szkodnik rozprzestrzenia si臋 tylko w roku 2004.

Adresy ofiar pobierane s膮 z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

  • WAB
  • TXT
  • MSG
  • HTM
  • SHTM
  • STM
  • XML
  • DBX
  • MBX
  • MDX
  • EML
  • NCH
  • MMF
  • ODS
  • CFG
  • ASP
  • PHP
  • WSH
  • ADB
  • TBB
  • SHT
  • XLS
  • OFT
  • UIN
  • CGI
  • MHT
  • DTM
  • JSP

Robak nie wysy艂a swoich kopii pod adresy zawieraj膮ce teksty @avp. oraz @microsoft.

Informacje dodatkowe

Bagle.t podejmuje pr贸by wysy艂ania informacji o zainfekowanych komputerach pod adres www.werde.de ze specjalnymi paramertami, do kt贸rych prawdopodobnie autor szkodnika mo偶e uzyska膰 dost臋p.

W celu ukrycia procesu infekowania komputera robak podejmuje pr贸b臋 uruchomienia pliku dreder.exe, kt贸ry nie jest obecny w standardowych instalacjach system贸w Windows.