I-Worm.Bagle.p,q,r

18 Мар 2004

мин. на чтение

Авторы

GReAT

«Лаборатория Касперского» сообщает об обнаружении трех новых версий червя I-Worm.Bagle. Все три версии распространяются через интернет в виде ссылки на зараженный веб-сайт, а также через файлообменные сети. Червь обладает функцией заражения исполняемых файлов.

Червь представляет собой PE EXE-файл, размером около 25. Червь упакован при помощи UPX. Размер распакованного файла — около 65КB.

Характеристики зараженных писем

Адрес отправителя

Выбирается произвольно из списка:

administration
antispam
antivirus
management
noreply
staff
support

1

2

3

4

5

6

7

administration

antispam

antivirus

management

noreply

staff

support

В качестве домена отправителя используется домен получателя зараженного письма.

Тема письма

Выбирается произвольно из списка:

Account notify
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Email report
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Pass -
Password -
Password:
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account.

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

Account notify

E-mail account disabling warning.

E-mail account security warning.

Email account utilization warning.

Email report

E-mail technical support message.

E-mail technical support warning.

E-mail warning

Encrypted document

Fax Message Received

Forum notify

Hidden message

Important notify

Important notify about your e-mail account.

Incoming message

Notify about using the e-mail account.

Notify about your e-mail account utilization.

Notify from e-mail technical support.

Pass -

Password -

Password:

Protected message

Re: Document

Re: Hello

Re: Hi

Re: Incoming Fax

Re: Incoming Message

Re: Msg reply

RE: Protected message

RE: Text message

Re: Thank you!

Re: Thanks :)

Re: Yahoo!

Request response

Site changes

Warning about your e-mail account.

Письмо содержит в себе VBS-скрипт, который, будучи запущен пользователем вручную, использует уязвимость в Microsoft Internet Explorer, описанную в информационном бюллетене MS03-040 для загрузки из интернета с одного из нескольких десятков зараженных сайтов непосредственно исполняемого файла червя.

Процедуры детектирования и удаления I-Worm.Bagle.p, I-Worm.Bagle.q и I-Worm.Bagle.r уже выпущены срочным обновлением базы данных «Антивируса Касперского».

Подробное описание новых червей появится в «Вирусной энциклопедии» в ближайшее время.

Авторы

GReAT

I-Worm.Bagle.p,q,r

Последние публикации

Отчеты

Разбираем новые инструменты и методы APT-группы Tomiris: реверс-шеллы на разных языках программирования, открытые фреймворки Havoc и AdaptixC2, а также каналы связи через Discord и Telegram.

Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.

Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.

Исследователи «Лаборатории Касперского» впервые обнаружили шпионское ПО Dante, разработанное Memento Labs (бывшей Hacking Team) в дикой природе и нашли его связь с APT ForumTroll.

I-Worm.Bagle.p,q,r

Характеристики зараженных писем

Адрес отправителя

Тема письма

Группа IronHusky обновила MysterySnail для атак на организации в России и Монголии

Финансовые киберугрозы и crimeware в 2025 году

Стилер там, стилер здесь, стилеры везде!

В ритме самбы: экзотический SambaSpy покоряет Италию

Кампания EastWind: новые атаки CloudSorcerer на госорганизации в России

Антивирусные обои на 2012 год

Антивирусные обои: декабрь 2011

Антивирусные обои: октябрь 2011

Антивирусные обои для рабочего стола на сентябрь 2011 года

Антивирусные обои для рабочего стола за август 2011

Последние публикации

Уязвимость CVE-2025-59287: описание и противодействие

Новые инструменты и методы APT-группы Tomiris: Havoc, AdaptixC2, реверс-шеллы

Старая технология, новые уязвимости: эксплуатация протокола NTLM в 2025 году

ToddyCat — ваш скрытый почтовый ассистент. Часть 1

Отчеты

Новые инструменты и методы APT-группы Tomiris: Havoc, AdaptixC2, реверс-шеллы

ToddyCat — ваш скрытый почтовый ассистент. Часть 1

Криптоафера группы BlueNoroff: «призрачные» инвестиции и фиктивные рабочие предложения

Mem3nt0 mori – Hacking Team снова с нами!

Подпишитесь на еженедельную рассылку