"Лаборатория Касперского" сообщает об обнаружении новой модификации трояна Bagle, получившего "код" al. Распространяется через Интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Для размножения червь использует две компоненты: ZIP-архив, основной модуль. Компонент-загрузчик представляет собой ZIP-архив размером 5932 байта и содержит следующие файлы: price.html, priceprice.exe. Файл price.html является вредоносным скриптом Exploit.CodeBaseExec. Предназначен для автоматического запуска файла price.exe. Файл price.exe является троянской программой-загрузчиком, которая предназначена для загрузки основного модуля червя на машину-жертву. Имеет размер 14848 байт. После запуска копирует себя в системный каталог Windows под именем windirect.exe. Регистрируется в ключе автозапуска системного реестра: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun "win_upd2.exe" = "%system%windirect.exe". После этого извлекает из своего тела файл-загрузчик, сохраняет его в системный каталог Windows под именем _dll.exe, и запускает его. Файл _dll.exe имеет размер 11776 байт. После запуска останавливает работу следующих процессов: FIREWALL.EXE, ATUPDATER.EXE, winxp.exe, sys_xp.exe, sysxp.exe, LUALL.EXE, DRWEBUPW.EXE, AUTODOWN.EXE, NUPGRADE.EXE, OUTPOST.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ESCANH95.EXE, AVXQUAR.EXE, ESCANHNT.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVXQUAR.EXE, AVWUPD32.EXE, AVPUPD.EXE, CFIAUDIT.EXE, UPDATE.EXE, NUPGRADE.EXE, MCUPDATE.EXE. Затем пытается загрузить основной компонент червя с одного из адресов, прописанных в теле файла. В случае успешной загрузки, троянец запускает файл. Червь открывает на 80 порту локальный HTTP сервер, что позволяет злоумышленникам производить удаленную загрузку и исполнение файлов на инфицированной машине. В спецификации Panda Software червь получил название Bagle.AM.
Более подробно