美国McAfee的反病毒技术研究机构—McAfee AVERT(Anti-Virus Emergency Response Team)日前将最近发现的“培果”蠕虫变种“W32/Bagle.aq@MM(Bagle.aq)”的危险度评定为“中”。这是该公司于美国当地时间8月9日发布的消息。新变种是一种大量发送电子邮件的蠕虫,发送zip格式的文件。
McAfee AVERT目前已接到了150例以上的检测和感染报告。迄今接到的感染报告绝大多数来至巴西、加拿大、法国、荷兰、台湾和美国。其中大部分来自普通用户而不是企业用户。
Bagle.aq利用自身的SMTP引擎制作发送的邮件。因为Bagle.aq把从本地文件中收集到的电子邮件地址填写在“From”栏(发信人)里,自我复制后发送出去,所以收信人无法确定发送人的地址。
该蠕虫内置有远程连接组件,感染的电脑会通知蠕虫作者。另外,病毒发作后会在含有字符串“shar”的文件夹内(普通端对端应用程序的文件夹)制成其自身的复制文件。
在该蠕虫发送的zip格式的文件内,保存有html和exe文件。因为exe文件在zip文件内,所在在Windows资源管理器中,仅能看到html文件和其他文件夹(通过“WinZip”和“PKzip”等独立的zip解压缩程序则可以看到exe文件)。html文件中的代码可在有漏洞的系统内自动运行作为特洛伊木马型下载器的exe文件。该下载器可以访问大多数Web站点并搜索病毒。
电子邮件的内容如下:
-------------------------------------------------------
发信人:(伪装的电子邮件地址)
主题:(空白)
消息正文:
·new price
在说明zip文件有口令保护后,消息正文中有时还会有以下表述和口令的图像文件(Image File)。
·The password is
·Password:
附件:(以下的任意一个)
·price.zip
·price2.zip
·price_new.zip
·price_08.zip
·08_price.zip
·newprice.zip
·new_price.zip
·new__price.zip
zip文件中保存有两个文件—PRICE.EXE和PRICE.HTML。
exe文件运行时,Bagle.aq在Windows System目录中将其自身作为“WINDIRECT.EXE”复制为“C:\WINNT\SYSTEM32\WINdirect.exe”。此外,还在该目录中追加dll文件“_dll.exe”。
另外,为了能在起动时自动运行,追加了以下注册键(Registry Keys):
特洛伊木马型下载器下载到病毒运行文件并运行后,病毒就会在Windows System目录中将其自身作为“WINDLL.EXE”复制为“C:\WINNT\SYSTEM32\windll.exe”。还将在该目录下制成执行病毒自身功能的其他文件—“C:\WINNT\SYSTEM32\windll.exeopen”和“C:\WINNT\SYSTEM32\windll.exeopenopen”。
另外,为了能在起动时自动运行,追加了以下注册键:
该蠕虫可打开目标机器的80端口(TCP)和随机的UDP端口。