RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Bagle.d
| Время детектирования | 28 фев 2004 17:14 MSK |
| Время выпуска обновления | 29 фев 2004 01:53 MSK |
| Описание опубликовано | 28 фев 2004 17:14 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Червь представляет собой PE EXE-файл, размером около 15KB. Червь упакован UPX, размер распакованного файла около 28KBХарактеристики зараженных писем
Варианты заголовка:
Price New Price-list Hardware devices price-list Weekly activity report Daily activity report Maria Jenny Jessica Registration confirmation USA government abolishes the capital punishment Freedom for everyone Flayers among us From Hair-cutter Melissa Camila Price-list Pricelist Price list Hello my friend Hi! Well... Greet the day The account Looking for the report You really love me? he he You are dismissed Accounts department From me Monthly incomings summary The summary Proclivity to servitude Ahtung! The employee
Текст письма:
Отсутствует.Вложение:
Zip-файл с именем, составленным из произвольного набора символов a, b, c (например cdda.zip). Размер вложения - 15994 байт. Внутри архива exe-файл с произвольным именем и иконкой Excel-файла.Инсталляция
После запуска червь копирует себя и свои компоненты в системный каталог Windows, под именами "readme.exe", "onde.exe", "doc.exe", "readme.exeopen" и регистрирует "readme.exe" в ключе автозапуска системного реестра:[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "gouday.exe" = "%system%\readme.exe"Также создает в реестре ключ:
[HKCU\SOFTWARE\DataTime3]и сохраняет в нём свои переменные.
Червь пытается соединиться с несколькими удаленными сайтами, сохраняя там информацию о зараженном компьютере.
При своем запуске червь запускает "блокнот" (notepad.exe).
Размножение
Червь ищет на диске файлы с расширениями:wab txt htm html dbx mdx eml nch mmf ods cfg asp php pl adb shtи рассылает себя по всем найденных в них адресах электронной почты. Для отправки почты червь использует собственный SMTP-сервер.
Удаленное администрирование
Червь открывает и затем отслеживает порт 2745. Функции "бэкдор" позволяют злоумышленнику осуществлять следующие операции:- запуск команд;
- загрузка файлов.
Прочее
Червь пытается противодействовать обновлению антивирусных програм. Завершает процессы с именами:ATUPDATER.EXE AVWUPD32.EXE AVPUPD.EXE LUALL.EXE DRWEBUPW.EXE ICSSUPPNT.EXE ICSUPP95.EXE UPDATE.EXE NUPGRADE.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE CFIAUDIT.EXE MCUPDATE.EXE NUPGRADE.EXE OUTPOST.EXE AVLTMAIN.EXEЧервь запрограммирован на прекращение саморазмножения после 14 марта 2004 года.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
Bagle. d («Лаборатория Касперского»)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».