Email-Worm.Win32.Bagle.mu

Материал из Total Malware Info

Email-Worm.Win32.Bagle.mu Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 65536 байт. Упакован при помощи Morphine, распакованный размер 207 к.б.

Содержание 1 Инсталляция 2 Распространение через email 3 Характеристики зараженных писем 4 Заголовок письма: 5 Текст письма: 6 Размножение через файлообменные сети 7 Деструктивная активность 8 Рекомендации по удалению

Инсталляция

Копирует свой исполняемый файл как:

%System%\mdmi386.exe

Извлекает из своего тела библиотеку размером 84968 байт:

%System%\AUHook.dll

Создает ключи реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset6]
[HKCR\CLSID\{77770022-0D68-4D14-BF25-6747ACFA95DE}]
[HKCR\Directory\shellex\ContextMenuHandlers\icqlite]
[HKCR\*\shellex\ContextMenuHandlers\icqlite]

Распространение через email

Червь ищет на диске файлы с расширениями из нижеприведенного списка и рассылает себя по найденным в них адресам электронной почты:

wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Червь проверяет каждый найденный электронный адрес на предмет наличия в нем подстрок:

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
icrosoft�ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
Noreply
local
root@
postmaster@
.subscribe
all@
certific
certs@
contact@
f-secur
gold-
hostmaster@
netadmin@
oocies
@fsecure
@mm
@norman
@norton
@symantec
@virusli
-mail-ru
-200
-sub
subscribe.ru
-000
20050
20040
20030
20051
20041
20031
20060
20070
20061
20071
.xml@
.gif@
.png@
.jpg@
.mso@

Если такая подстрока присутствует, то червь себя не отправляет по найденному адресу.

Для рассылки писем использует собственный SMTP-движок.

Характеристики зараженных писем

Заголовок письма:

Открытка с POSTCARD.RU номер <rnd>

где <rnd> - случайное число

Текст письма:

Добрый день!
Вам была отправлена открытка. Для того, чтобы получить ее,
нужно зайти по ссылке  http://www.p*****rd.ru/get/?1<rnd>
Открытка будет доступна в течение тридцати дней.

Служба рассылки открыток

 Hello!
 You've got a postcard. To view this postcard, click on the
following link at anytime within the next 30 days
 http://www.p*****rd.ru/get/?1<rnd>
then switch to english version of site, and click on "get my postcard!"

Greeting postcards at
http://www.postcard.ru

----------------------------------------------------------------

P.S. Большая просьба не отвечать на адрес monica@postcard.ru
- письмо попадет бездушному роботу.

При открытии вышеуказанных ссылок, происходит перенаправление на одну из следующих зараженных веб страниц:

www.fivestar.spb.ru/www/index.shtml
www.siticom.ru/index.htm
www.myamoi.ru/index.html
www.firebook.ru/index.html
www.polistroy.kaluga.ru/
www.racus.ru/index.html
www.mir-polov.ru/index.html
www.mobyline.info/index.html
www.imaksi.h15.ru/index.html

при открытии которой, на компьютер пользователя загружаются различные вредоносные программы.

Размножение через файлообменные сети

Червь осуществляет поиск на диске каталогов, содержащих строку "shar". Если такие каталоги найдены, то в них червь выкладывает свое тело со следующими именами:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 6.0.exe
Kaspersky Antivirus 6.0.exe
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 9 New!.exe
XXX hardcore images.exe
WinAmp 7 New!.exe
WinAmp 7 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Таким образом, он получает распространение через разделяемые ресурсы P2P-сетей.

Деструктивная активность

Блокирует доступ к следующим адресам

kaspersky
kaspersky-labs
viruslist
avp
symatec
update.symantec
symantecliveupdate
sophos
symantec
norton
mcafee
liveupdate.symantecliveupdate
f-secure
secure.nai
nai
ca
my-etrust
networkassociates
trendmicro
grisoft�sandbox.norman
uk.trendmicro-europe

модифицируя файл:

%System%\drivers\etc\hosts

и таким образом отключает антивирусную защиту компьютера. Следит за работой пользователя в программе Internet Explorer и собирает вводимые в полях ввода на веб страницах данные а так же делает скриншоты экрана.

Содержит фрагменты кода из троянской программы Pinch, которые похищают пароли из следующих программ: TheBat Mirabilis ICQ Miranda &RQ Пароли дозвона к интернет-провайдеру FAR(пароли на FTP соединения) Total Commander(пароли на FTP соединения) Microsoft Outlook CuteFTP Opera(пароли сохраненные при помощи Wand)

Вся собранная информация отправляется на сайт злоумышленников.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключи системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset6]
[HKCR\CLSID\{77770022-0D68-4D14-BF25-6747ACFA95DE}]
[HKCR\Directory\shellex\ContextMenuHandlers\icqlite]
[HKCR\*\shellex\ContextMenuHandlers\icqlite]

4. Удалить файлы:

%System%\mdmi386.exe
%System%\AUHook.dll

5. Восстановить содержимое файла

%System%\drivers\etc\hosts

обычно этот файл содержит строку:

127.0.0.1       localhost