В минувший понедельник в Интернет появилась новая версия известного почтового червя Bagle. Так как разных вариантов этого червя выпущен уже не один десяток, то антивирусные компании уже сбились с единого из счета, поэтому в разных источниках наименования этой версии червя фигурируют разные. Например, «Лаборатория Касперского» назвала ее I-Worm.Bagle.al, у Computer Associates получилось Bagle.AG, а у F-Secure и McAfee — Bagle.AQ. Как бы там ни было, но все они присвоили этому варианту Bagle «средний» уровень опасности.

Итак, будем придерживаться «отечественной» терминологии, то есть, будем именовать новый Bagle литерами «al».

По сообщению «Лаборатории Касперского», распространяется этот червь через Интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Для размножения червь использует два компонента: zip-архив, распространяемый в качестве вложений в зараженные электронные письма, и основной модуль червя, загружаемый с удаленного сайта.

Тема у такого письма отсутствует.

Текст письма представлен в виде HTML-страницы. Вариантов текста письма два: «new price» и «price».

К письму прикреплен файл с одним из следующих названий:

08_price.zip

new__price.zip

new_price.zip

newprice.zip

price.zip

price_08.zip

price_new.zip

price2.zip

Червь может рассылать себя в zip-архивах, защищенных паролем. В этом случае, в письме указывается пароль к архиву. Пароль может быть представлен в виде текста или в виде изображения.

Zip-архив имеет размер 5932 байта и содержит он следующие файлы: price.html и price.exe. Файл «price.html» является вредоносным скриптом Exploit.CodeBaseExec, автоматически запускающим файл «price.exe». Файл «price.exe» является троянской программой-дроппером, предназначенной для загрузки основного модуля червя на машину-жертву. Имеет размер 14848 байт.

После запуска копирует себя в системный каталог Windows под именем «windirect.exe» и регистрирует этот файл в ключе автозапуска системного реестра:

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] «win_upd2.exe»=»%system%windirect.exe»

После этого программа извлекает из себя файл-загрузчик, сохраняет его в системный каталог Windows под именем «_dll.exe», и запускает его.

Файл «_dll.exe» имеет размер 11776 байт. После запуска останавливает работу нескольких процессов, имеющих отношение к программным межсетевым экранам.

Затем загрузчик пытается скачать основной компонент червя с одного из IP-адресов, прописанных в теле файла «_dll.exe». В случае успешной загрузки, «троянец» запускает загруженный файл.

Основной модуль червя написан на основе исходных кодов, распространенных посредством одной из предыдущих версий червя — I-Worm.Bagle.aa. Имеет размер 19460 байт.

После запуска основного модуля, червь копирует себя в системный каталог Windows под именем «windll.exe» и регистрирует этот файл в ключе автозапуска системного реестра:

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] «erthgdr»=»%system%windll.exe»

Кроме того, червь создает в системном каталоге Windows два вспомогательных файла: windll.exeopen и windll.exeopenopen.

Основной модуль червя запрограммирован на прекращение деятельности и самоликвидацию после 10 августа 2004 года.

Установленная на зараженном компьютере троянская программа-загрузчик остается работоспособной и потенциально позволяет осуществлять загрузку и запуск любых программ на зараженной машине.

«Лаборатория Касперского» уже выпустила обновление своих баз данных для защиты от I-Worm.Bagle.al и его компонентов. Его можно найти здесь.

Лаборатория Касперского