Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Email-Worm.Win32.Bagle.a

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 15 KB. Szkodnik aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Zainfekowane wiadomości posiadają następujące pola:

  • Od: nadawca losowy

  • Temat:
    Hi
  • Treść:
    Test =)
  • Podpis:
    Test, yep
  • Nazwa załącznika: losowa

Instalacja

Robak kopiuje się z nazwą bbeagle.exe do systemowego folderu Windows i tworzy w rejestrze klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"d3dupdate.exe" = "%system%\bbeagle.exe"

Szkodnik podejmuje próbę pobierania i uruchamiania konia trojańskiego TrojanProxy.Win32.Mitglieder.

Dodatkowo robak uruchamia jedną ze standardowych aplikacji systemu Windows - calc.exe.

Rozprzestrzenianie

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia: WAB, TXT, HTM, HTML, R1.

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik korzysta z własnego silnika SMTP. <alias> I-Worm.Bagle.a (Kaspersky Lab), W32/Bagle.a@MM (McAfee),   W32.Beagle.A@mm (Symantec),   Win32.HLLM.Beagle.15872 (Doctor Web),   W32/Bagle-A (Sophos),   Win32/Bagle.A@mm (RAV),   WORM_BAGLE.A (Trend Micro),   Worm/Bagle.A (H+BEDV),   W32/Bagle.A@mm (FRISK),   Win32:Beagle (ALWIL),   I-Worm/Bagle.A (Grisoft),   Win32.Bagle.A@mm (SOFTWIN),   Worm.Bagle.Gen-dll (ClamAV),   W32/Bagle.A.worm (Panda),   Win32/Bagle.A (Eset) </alias>