Bagle.ay распространяется через электронную почту в виде вложений в электронные письма. Червь представляет собой исполняемый в среде Windows файл размером 19 Кб, приложенный к письму с одним из предустановленных заголовков: “Delivery service mail, Delivery by mail, Registration is accepted, Is delivered mail, You are made active”.
 |
 |
Лаборатория Касперского сообщает о том, что текст письма имеет два варианта исполнения, “Thanks for use of our software” и “Before use read the help”, равно как и наименование приложенного файла, выбираемого произвольным образом из следующих: wsd01, viupd02, siupd02, guupd02, zupd02, upd02, Jol03.
Активизация червя производится по инициативе пользователя, открывшего приложение к письму и тем самым запустившего зараженный файл. После запуска червь копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным.
Для размножения Bagle.ay использует процедуру, стандартную для данного вида вредоносных программ, но при этом имеющую ряд особенностей. Он сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты, за исключением адресов, принадлежащих крупным разработчикам антивирусного и прочих видов программного обеспечения. Этим объясняется малое количество образцов червя, получаемое антивирусными компаниями. Для отправления зараженных писем червь использует прямое взаимодействие с SMTP-сервером.
PandaLabs докладывает о появлении новых червей Bagle.BK и Bagle.BL. Оба червя спроектированы таким образом, чтобы быстро распространяться по электронной почте в сообщениях, использующих социальную инженерию, а также пиринговые (P2P) приложения наподобие KaZaA. Международная сеть поддержки Panda Software уже начала фиксировать инциденты, вызванные Bagle.BL в таких странах как Голландия и США, и, учитывая характеристики червей, прогнозируется рост количества пораженных компьютеров. Исходя из этого, Panda Software установила оранжевый уровень вирусной тревоги.
Для распространения через P2P приложения, такие как KaZaA или Morpheus, оба червя создают свои копии в программных папках общего пользования, присваивая копиям названия, такие как ACDSee 9.exe, Adobe Photoshop 9 full.exe и Ahead Nero 7.exe, среди прочих. Это является приманкой для того, чтобы пользователи скачали и запустили их.
Самое опасное действие, выполняемое обеими версиями Bagle – завершение процессов в памяти, относящихся к антивирусным приложениям и прочим системам безопасности, что приводит к беззащитности компьютеров против дальнейших атак.
Черви также создают несколько записей в реестре Windows для того, чтобы обеспечить свой последующий запуск при каждом старте системы, и удаляют другие записи, могущие присутствовать в результате заражения версиями Netsky.)
