Подробное описание:

I-Worm.Bagle.ai


Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Упакован PEX. Размер упакованного файла около 20 КБ.

Инсталляция
После запуска червь копирует себя в системный каталог Windows под именем "winxp.exe" и регистрируется в ключе автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"key"="%system%\winxp.exe"
Вирус также создает в системном каталоге Windows вспомогательные файлы:

winxp.exeopen
winxp.exeopenopen
winxp.exeopenopenopen
winxp.exeopenopenopenopen
Размножение
Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденных в них адресам электронной почты.

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml


Для отправки почты червь использует собственный SMTP-сервер.

Характеристики зараженных писем
Заголовок:
Re:
Варианты текста письма:
>Animals
>foto3 and MP3
>fotogalary and Music
>fotoinfo
>Lovely animals
>Predators
>Screen and Music
>The snake
Имена вложений:
Cat
Cool_MP3
Dog
Doll
Fish
Garry
MP3
Music_MP3
New_MP3_Player
Варианты расширения вложения:
com
cpl
exe
scr
zip
Червь может рассылать себя в ZIP-архивах, защищенных паролем. В этом случае, в письме указывается пароль к архиву. Пароль может быть представлен в виде текста или в виде изображения.

Червь не рассылает зараженные письма на почтовые ящики, которые содержат в себе подстроку из списка:

@avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Размножение через P2P
Червь ищет на диске каталоги, в которых встречается строка "shar" и копирует себя во все найденные, в нескольких экземплярах, под следующими именами:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Удаленное администрирование
Червь открывает и отслеживает два порта: 1080 и случайный.

Прочее
Червь запрограммирован на прекращение деятельности и самоликвидацию после 5 мая 2006 года.

Отслеживает запуск большинства известных антивирусов и межсетевых экранов и уничтожает их процессы.

Содержит в своем теле список URL'ов, с которых пытается что-то скачать. В настоящий момент ни один из этих адресов не функционирует.

www.viruslist.com