Email-Worm.Win32.Bagle.aa

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Упакован UPX и PEX. Размер упакованного файла около 66 КБ.

Файл содержит внутри себя ZIP-архив с полными исходными текстами данного червя.

Инсталляция

После запуска червь копирует себя в системный каталог Windows, под именем "loader_name.exe" и регистрируется в ключе автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "reg_key"="%system%\loader_name.exe"

Также, вирус создает в системном каталоге Windows два вспомогательных файла:

loader_name.exeopen
loader_name.exeopenopen

Размножение

Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденных в них адресам электронной почты.

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx

mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht

shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

Для отправки почты червь использует собственный SMTP-сервер.

Характеристики зараженных писем

Варианты заголовка:

Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update

Варианты текста письма:

Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Here is the file.
Message is in attach
More info is in attach
Pay attention at the attach.
Please, have a look at the attached file.
Please, read the document.
Read the attach.
See attach.
See the attached file for details.
Your document is attached.
Your file is attached.

Имена вложений:

Details
Document
Info
Information
Message
MoreInfo
Readme
text_document
Updates

Варианты расширения вложения:

com
cpl
exe
hta
scr
vbs
zip

В случае, когда вложенные файлы имеют расширение "hta", размер файла составляет около 208 КБ, если используется расширение "vbs", то размер может достигать 211 КБ.

Червь может рассылать себя в ZIP-архивах, защищенных паролем. В этом случае, в письме указывается пароль к архиву. Пароль может быть представлен в виде текста или в виде изображения.

Червь не рассылает зараженные письма на почтовые ящики, которые содержат в себе подстроку из списка:

@avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

Размножение через P2P

Червь ищет на диске каталоги, в которых встречается строка "shar" и копирует себя во все найденные, в нескольких экземплярах, под следующими именами:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Удаленное администрирование

Червь открывает и затем отслеживает порт 1234.

Функция "бэкдор" позволяет злоумышленнику в определенное время произвести рассылку исходных кодов червя, используя электронную почту.

Прочее

Червь запрограммирован на прекращение деятельности и самоликвидацию после 7 июля 2004 года.