Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Email-Worm.Win32.Bagle.ax

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci wymiany plików oraz przy użyciu udostępnionych zasobów sieciowych. Ma postać pliku PE EXE o rozmiarze około 19 KB.

Instalacja

Szkodnik kopiuje się do foldera \Windows\System z następującymi nazwami:

sysformat.exe 
sysformat.exeopen 
sysformat.exeopenopen 

Dla kopii sysformat.exe w rejestrze systemowym tworzony jest klucz auto-run, co zapewnia robakowi uruchamianie wraz z każdym startem systemu operacyjnego:

[\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sysformat" = "%System%\sysformat.exe"

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

adb 
asp 
cfg 
cgi 
dbx 
dhtm 
eml 
htm 
jsp 
mbx 
mdx 
mht 
mmf 
msg 
nch 
ods 
oft 
php 
pl 
sht 
shtm 
stm 
tbb 
txt 
uin 
wab 
wsh 
xls 
xml 

Szkodnik nie wysyła własnych kopii pod adresy zawierające następujące teksty:

@avp 
@foo 
@iana 
@messagelab 
@microsoft 
abuse 
admin 
anyone@ 
bsd 
bugs@ 
cafee 
certific 
contract@ 
feste 
free-av 
f-secur 
gold-certs@ 
google 
help@ 
icrosoft 
info@ 
kasp 
linux 
listserv 
local 
news 
nobody@ 
noone@ 
noreply 
ntivi 
panda 
pgp 
postmaster@ 
rating@ 
root@ 
samples 
sopho 
spam 
support 
unix 
update 
winrar 
winzip

W celu wysyłania wiadomości robak wykorzystuje własny silnik SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    Delivery by mail 
    Delivery service mail 
    Is delivered mail 
    Registration is accepted 
    You are made active 
    
  • Treść (wybierana z poniższych możliwości):
    Before use read the help 
    Thanks for use of our software
    
  • Nazwa załącznika (wybierana z poniższych możliwości):
    guupd02 
    Jol03 
    siupd02 
    upd02 
    viupd02 
    wsd01 
    zupd02
    
  • Rozszerzenie załącznika (wybierane z poniższych możliwości):
    com 
    cpl 
    exe 
    scr 
    

Rozprzestrzenianie - sieci P2P oraz udostępnione zasoby sieciowe

Robak szuka folderów, których nazwy zawierają słowo share i umieszcza w nich własne kopie z poniższymi nazwami:

1.exe 
10.exe 
2.exe 
3.exe 
4.exe 
5.scr 
6.exe 
7.exe 
8.exe 
9.exe 
ACDSee 9.exe 
Adobe Photoshop 9 full.exe 
Ahead Nero 7.exe 
Matrix 3 Revolution English Subtitles.exe 
Opera 8 New!.exe 
WinAmp 5 Pro Keygen Crack Update.exe 
WinAmp 6 New!.exe 
Windown Longhorn Beta Leak.exe 
XXX hardcore images.exe

Informacje dodatkowe

Bagle.ax zamyka następujące procesy programów antywirusowych, zapór ogniowych oraz innych aplikacji zabezpieczających:

alogserv.exe
alogserv.exe 
APVXDWIN.EXE 
ATUPDATER.EXE 
ATUPDATER.EXE 
AUPDATE.EXE 
AUTODOWN.EXE 
AUTOTRACE.EXE 
AUTOUPDATE.EXE 
Avconsol.exe 
AVENGINE.EXE 
AVPUPD.EXE 
Avsynmgr.exe 
AVWUPD32.EXE 
AVXQUAR.EXE 
AVXQUAR.EXE 
bawindo.exe 
blackd.exe 
ccApp.exe 
ccEvtMgr.exe 
ccProxy.exe 
ccPxySvc.exe 
CFIAUDIT.EXE 
DefWatch.exe 
DRWEBUPW.EXE 
ESCANH95.EXE 
ESCANHNT.EXE 
FIREWALL.EXE 
FrameworkService.exe 
ICSSUPPNT.EXE 
ICSUPP95.EXE 
LUALL.EXE 
LUCOMS~1.EXE 
mcagent.exe 
mcshield.exe 
MCUPDATE.EXE 
mcvsescn.exe 
mcvsrte.exe 
mcvsshld.exe 
navapsvc.exe 
navapsvc.exe 
navapsvc.exe 
navapw32.exe 
NISUM.EXE 
nopdb.exe 
NPROTECT.EXE 
NPROTECT.EXE 
NUPGRADE.EXE 
NUPGRADE.EXE 
OUTPOST.EXE 
PavFires.exe 
pavProxy.exe 
pavsrv50.exe 
Rtvscan.exe 
RuLaunch.exe 
SAVScan.exe 
SHSTAT.EXE 
SNDSrvc.exe 
symlcsvc.exe 
UPDATE.EXE 
UpdaterUI.exe 
Vshwin32.exe 
VsStat.exe 
VsTskMgr.exe
<alias> Win32.HLLM.Beagle.18336 (Doctor Web),   W32/Bagle-Gen (Sophos),   Win32/Balge.AY@mm (RAV),   WORM_BAGLE.AY (Trend Micro),   Worm/Bagle.AV (H+BEDV),   W32/Bagle.BB@mm (FRISK),   I-Worm/Bagle.BB (Grisoft),   Win32.Bagle.10.Gen@mm (SOFTWIN),   Trojan.Downloader.Small-165 (ClamAV),   W32/Bagle.BK.worm (Panda),   Win32/Bagle.AW (Eset) </alias>