Email-Worm.Win32.Bagle.bn

Технические детали

Данная версия червя практически полностью повторяет по своей функциональности Bagle.bj и некоторые модификации Bagle.pac.

Распространение

Данная модификация червя самостоятельно не размножается. Она была разослана по спам-рассылке. Зараженные письма имеют пустое поле темы и не имеют тела письма.

Тело червя прикреплено к письму в виде аттача — ZIP-файла размером 19 КБ.

Данная вредоносная программа состоит из нескольких компонентов (все они детектируются под именем Email-Worm.Win32.Bagle с разными версиями).

Файл в ZIP-архиве имеет имя 19_04_2005.exe. Упакован PEX. Размер упакованного файла — 37888 байт, распакованного — около 65 КБ.

Инсталляция

При запуске исполняемого файла создается текстовый файл во временном каталоге Windows. Имя текстового файл начинается с символа «~» и имеет расширение «txt». Файл содержит строку:

Sorry

Данный текстовый файл открывается червем с помощью обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

После этого из тела червя в системный каталог Windows сохраняется файл winshost.exe. Файл упакован PEX, размер в упакованном виде — 9728 байт, в распакованном — 45056 байт. После извлечения из тела червя, файл запускается.

После своего запуска winshost.exe копирует себя в системный каталог Windows под именем winshost.exe и прописывает этот файл в ключи автозагрузки системного реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Затем winshost.exe сохраняет в системный каталог wiwshost.exe, который детектируется Антивирусом Касперского как Bagle.bj.

Действие

Winshost.exe перезаписывает файл hosts с целью блокирования доступа к обновлениям и сайтам антивирусных компаний:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
ca.com
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
dispatch.mcafee.com
dispatch.mcafee.com
download.mcafee.com
download.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us3.kaspersky-labs.com
engine.awaps.net
fastclick.net
f-secure.com
f-secure.com
ftp.avp.ch
ftp.downloads2.kaspersky-labs.com
ftp.f-secure.com
ftp.kasperskylab.ru
ftp.sophos.com
go.microsoft.com
ids.kaspersky-labs.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantec.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mast.mcafee.com
mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
my-etrust.com
nai.com
nai.com
networkassociates.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
rads.mcafee.com
secure.nai.com
secure.nai.com
securityresponse.symantec.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
symantec.com
trendmicro.com
update.symantec.com
update.symantec.com
update.symantec.com
updates.symantec.com
updates.symantec.com
updates1.kaspersky-labs.com
updates1.kaspersky-labs.com
updates2.kaspersky-labs.com
updates3.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates5.kaspersky-labs.com
us.mcafee.com
us.mcafee.com
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.ca.com
www.fastclick.net
www.f-secure.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.kaspersky.ru
www.kaspersky.ru
www.kaspersky-labs.com
www.mcafee.com
www.mcafee.com
www.my-etrust.com
www.my-etrust.com
www.nai.com
www.nai.com
www.networkassociates.com
www.networkassociates.com
www.sophos.com
www.sophos.com
www.symantec.com
www.symantec.com
www.trendmicro.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com

С целью блокирования запуска антивирусов червь уничтожает следующие ключи реестра:

[HKLM\SOFTWARE\Agnitum]
[HKLM\SOFTWARE\KasperskyLab]
[HKLM\SOFTWARE\McAfee]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client]
[HKLM\SOFTWARE\Symantec]
[HKLM\SOFTWARE\Panda Software]
[HKLM\SOFTWARE\Zone Labs]

Червь удаляет активные антивирусы и другие средства защиты:

• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVPUPD.EXE
• AVWUPD32.EXE
• AVXQUAR.EXE
• AVXQUAR.EXE
• CFIAUDIT.EXE
• DRWEBUPW.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• FIREWALL.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• LUALL.EXE
• MCUPDATE.EXE
• NUPGRADE.EXE
• OUTPOST.EXE
• UPDATE.EXE
• UPGRADER.EXE