-
Email-Worm.Win32.Bagle.bz, .ca, .cb
Email-Worm.Win32.Bagle.bz, .ca, .cb
11 авг 2005
*****
Сегодня "Лаборатория Касперского" зафиксировала появление
новых модификаций вредоносной программы Email-Worm.Win32.Bagle (на
данный момент в антивирусные базы добавлено 4 новых модификации :
Email-Worm.Win32.Bagle.bz, .ca, .cb, .cc) . Были обновлены механизмы
работы всех компонентов вредоносной программы, обновлены ссылки,
перепакованы и разосланы при помощи спам-рассылки старые версии данного
червя.
Эксперты "Лаборатории Касперского" предупреждают пользователей Интернета
о том, что необходимо быть максимально осторожными при работе с
электронной почтой. Процедуры детектирования и удаления червя уже
добавлены в базы данных Антивируса Касперского.
Email-Worm.Win32.Bagle.cc - это вариант червя Bagle, в котором
отсутствует функция саморазмножения, однако все прочие функции полностью
соответствуют червям семейства Bagle. Он был разослан при помощи
спам-рассылки. По своему функционалу практически повторяет версию
Email-Worm.Win32.Bagle.bj и некоторые модификации из детекшена
Email-Worm.Win32.Bagle.pac
Зараженные письма либо имеют пустое поле темы и не имеют тела письма,
либо содержат произвольный текст и имя вложения.
Тело червя прикреплено к письму в виде аттача - ZIP-файла размером
около 18 КБ.
Вложение может иметь следующее название:
"to_reduce_the_tax.zip"
Червь представляет собой PE EXE-файл. Упакован PEX. Размер в пакованом
виде - примерно 36 КБ.
Инсталляция
После запуска червь открывает пустое окно обработчика TXT-файлов,
установленного в системе по умолчанию (чаще всего это программа
Notepad/"Блокнот").
При инсталляции червь создает в системном каталоге Windows файлы с
именами "winshost.exe" и "wiwshost.exe":
%System%\winshost.exe
%System%\wiwshost.exe
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%System%\winshost.exe"
Распространение
Данная модификация червя самостоятельно не размножается. Она была
разослана по спам-рассылке. Зараженные письма имеют пустое поле темы и
не имеют тела письма.
Действие
С целью блокирования запуска антивирусов и межсетевых экранов червь
удаляет следующие ключи реестра:
[HKLM\SOFTWARE\Agnitum] [HKLM\SOFTWARE\KasperskyLab]
[HKLM\SOFTWARE\McAfee]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \APVXDWIN]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_cc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_emc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ccApp]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \KAV50]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee Guardian]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee.InstantUpdate.Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \NAV CfgWiz]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SSC_UserPrompt]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Symantec NetDriver
Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Zone Labs
Client]
[HKLM\SOFTWARE\Panda Software]
[HKLM\SOFTWARE\Symantec]
[HKLM\SOFTWARE\Zone Labs]
Червь выгружает из памяти системы различные процессы, соответствующие
некоторым антивирусным программам и межсетевым экранам.
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: