Email-Worm.Win32.Bagle.bz, .ca, .cb

[ALEX(XX)]

Email-Worm.Win32.Bagle.bz, .ca, .cb
11 авг 2005

*****
Сегодня "Лаборатория Касперского" зафиксировала появление
новых модификаций вредоносной программы Email-Worm.Win32.Bagle (на
данный момент в антивирусные базы добавлено 4 новых модификации :
Email-Worm.Win32.Bagle.bz, .ca, .cb, .cc) . Были обновлены механизмы
работы всех компонентов вредоносной программы, обновлены ссылки,
перепакованы и разосланы при помощи спам-рассылки старые версии данного
червя.

Эксперты "Лаборатории Касперского" предупреждают пользователей Интернета
о том, что необходимо быть максимально осторожными при работе с
электронной почтой. Процедуры детектирования и удаления червя уже
добавлены в базы данных Антивируса Касперского.

Email-Worm.Win32.Bagle.cc - это вариант червя Bagle, в котором
отсутствует функция саморазмножения, однако все прочие функции полностью
соответствуют червям семейства Bagle. Он был разослан при помощи
спам-рассылки. По своему функционалу практически повторяет версию
Email-Worm.Win32.Bagle.bj и некоторые модификации из детекшена
Email-Worm.Win32.Bagle.pac

Зараженные письма либо имеют пустое поле темы и не имеют тела письма,
либо содержат произвольный текст и имя вложения.

Тело червя прикреплено к письму в виде аттача - ZIP-файла размером
около 18 КБ.

Вложение может иметь следующее название:

"to_reduce_the_tax.zip"

Червь представляет собой PE EXE-файл. Упакован PEX. Размер в пакованом
виде - примерно 36 КБ.

Инсталляция

После запуска червь открывает пустое окно обработчика TXT-файлов,
установленного в системе по умолчанию (чаще всего это программа
Notepad/"Блокнот").

При инсталляции червь создает в системном каталоге Windows файлы с
именами "winshost.exe" и "wiwshost.exe":

%System%\winshost.exe
%System%\wiwshost.exe

Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%System%\winshost.exe"

Распространение

Данная модификация червя самостоятельно не размножается. Она была
разослана по спам-рассылке. Зараженные письма имеют пустое поле темы и
не имеют тела письма.

Действие

С целью блокирования запуска антивирусов и межсетевых экранов червь
удаляет следующие ключи реестра:

[HKLM\SOFTWARE\Agnitum] [HKLM\SOFTWARE\KasperskyLab]
[HKLM\SOFTWARE\McAfee]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \APVXDWIN]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_cc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_emc]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ccApp]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \KAV50]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee Guardian]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee.InstantUpdate.Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \NAV CfgWiz]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SSC_UserPrompt]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Symantec NetDriver
Monitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Zone Labs
Client]
[HKLM\SOFTWARE\Panda Software]
[HKLM\SOFTWARE\Symantec]
[HKLM\SOFTWARE\Zone Labs]

Червь выгружает из памяти системы различные процессы, соответствующие
некоторым антивирусным программам и межсетевым экранам.