В Интернете – новая эпидемия почтового червя

«Лаборатория Касперского» сообщает о зафиксированном случае массовой рассылки нового варианта почтового червя Bagle - Email-Worm.Win32.Bagle.bo.

Червь был разослан по адресам электронной почты в письмах с произвольным содержанием и именем вложения (архив ZIP). В архиве содержится основной исполняемый файл червя размером около 17 КБ и имеющий имя 16_05_2005.exe либо похожее на него, с другими цифрами. Зараженные письма либо имеют пустое поле темы и не имеют тела письма, либо содержат произвольный текст и имя вложения. Тело червя прикреплено к письму в виде аттача — ZIP-файла размером около 17 КБ.

При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe. Затем червь регистрирует себя в ключе автозапуска системного реестра.

Данная модификация червя самостоятельно не размножается. Она была разослана по спам-рассылке. Червь содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы. Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.