Bagle.AI
Pojawiła sie następna mutacja wirusa Bagle. Jak informuje Kaspersky Labs - Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P. Ma postać pliku PE EXE o rozmiarze około 20 KB (kompresja PEX).
Po uruchomieniu robak kopiuje się do folderu systemowego Windows z nazwą winxp.exe i tworzy w rejestrze systemowym klucz auto-run:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"key"="%system%\winxp.exe"
Dodatkowo szkodnik tworzy następujące pliki w folderze systemowym Windows:
winxp.exeopen
winxp.exeopenopen
winxp.exeopenopenopen
winxp.exeopenopenopenopen
Robak może załączać do wiadomości zainfekowane archiwa zabezpieczone hasłem, które wymienione jest w treści wiadomości. Może ono mieć postać tekstu lub obrazka
Robak otwiera port 1080, a także dodatkowy, losowy port i śledzi ich aktywność.
Informacje dodatkowe
Robak przestajnie funkcjonować i uruchomi mechanizm "autodestrukcji" 5 maja... 2006.
Szkodnik wykrywa uruchamianie większości znanych programów antywirusowych oraz zapór ogniowych i zamyka ich procesy. W kodzie robaka zapisana jest lista adresów URL. Szkodnik podejmuje próby pobierania z nich różnych danych.