Si tratta di una nuova variante della famiglia di worm Bagle, diffusasi rapidamente a partire dal 23//11/2005. Viene riconosciuto anche con i seguenti nomi

Win32:Beagle-FR, Trojan.Bagle.BK, Worm.Bagle.CD-1, Win32.HLLM.Beagle.9219, Troj/BagleDl-AK, Win32.Bagle.Gen

Come per le versioni che lo hanno preceduto, questo worm si diffonde attraverso messaggi di posta elettronica infetti, inviati attraverso un proprio motore SMTP (Simple Mail Transfer Protocol). Al momento, sono stati identificati tre componenti del worm.

Un downloader (speciale componente che ha il compito di trasferire altro malware sul computer infetto) di circa 3 KB di lunghezza e stato il primo componente ad essere diffuso per e-mail attraverso SPAM.
Quando viene eseguito, il programma trasferisce un file da uno specifico indirizzo, lo copia nella cartella di Sistema di Windows usando un nome generato casualmente, per poi eseguirlo. Questo secondo componente del worm ha lo scopo di diffondere se stesso attraverso posta elettronica (mass mailing).
La sua lunghezza e di circa 20 KB. Quando viene eseguito, copia se stesso nella cartella di Sistema di Windows usando il nome

wind2ll2.exe

Quindi modifica il Registro aggiungendo la seguente chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
erfgddfk = %SysDir%\wind2ll2.exe

dove la variabile simbolica %SysDir% rappresenta il percorso predefinito della cartella di Sistema di Windows.

Inoltre, il worm tenta di cancellare delle chiavi di Registro che fanno riferimento ad altri worm per Windows.

All’interno del file eseguibile, e presente un archivio ZIP che contiene un ulteriore componente del worm. Si tratta di un altro downloader che viene diffuso via e-mail.

Gli oggetti delle e-mail infette variano e sono selezionati casualmente dalla lista che segue

* Ales
* Alice
* Alyce
* Andrew
* Androw
* Androwe
* Ann
* Anna
* Anne
* Annes
* Anthonie
* Anthony
* Anthonye
* Avice
* Avis
* Bennet
* Bennett
* Constance
* Cybil
* Daniel
* Danyell
* Dorithie
* Dorothee
* Dorothy
* Edmond
* Edmonde
* Edmund
* Edward
* Edwarde
* Elizabeth
* Elizabethe
* Ellen
* Ellyn
* Emanual
* Emanuel
* Emanuell
* Ester
* Frances
* Francis
* Fraunces
* Gabriell
* Geoffraie
* George
* Grace
* Harry
* Harrye
* Henrie
* Henry
* Henrye
* Hughe
* Humphrey
* Humphrie
* Christean
* Christian
* Isabel
* Isabell
* James
* Jane
* Jeames
* Jeffrey
* Jeffrye
* Joane
* Johen
* John
* Josias
* Judeth
* Judith
* Judithe
* Katherine
* Katheryne
* Leonard
* Leonarde
* Margaret
* Margarett
* Margerie
* Margerye
* Margret
* Margrett
* Marie
* Martha
* Mary
* Marye
* Michael
* Mychaell
* Nathaniel
* Nathaniell
* Nathanyell
* Nicholas
* Nicholaus
* Nycholas
* Peter
* Ralph
* Rebecka
* Richard
* Richarde
* Robert
* Roberte
* Roger
* Rose
* Rycharde
* Samuell
* Sara
* Sidney
* Sindony
* Stephen
* Susan
* Susanna
* Suzanna
* Sybell
* Sybyll
* Syndony
* Thomas
* Valentyne
* William
* Winifred
* Wynefrede
* Wynefreed
* Wynnefreede

La stessa lista viene usata per creare in modo casuale il nome dell’archivio ZIP infetto che verra posto in allegato alle e-mail inviate dal worm.

Il corpo dei messaggi contiene una delle seguenti stringhe:

* All-foto
* AN-FOTO
* D-Foto
* FOTO-1
* FOTO-2
* FOTO-3
* FOTO-4
* foto-bank
* foto-books
* FOTO-DIGITAL
* foto-flower
* foto-forum
* Foto-War
* FOTO HOME
* foto land
* Foto Portal
* foto telephone
* Foto&Video
* Foto.Md
* Internet-foto
* m-foto
* MAIL.FOTO
* my foto
* OK-FOTO
* S-Foto
* VIP-foto
* web-foto

L’allegato (un archivio con formato ZIP) contiene l’eseguibile del worm, il cui nome e sempre 123.exe.

La lunghezza del file e di circa 9 KB
Quando viene eseguito, copia se stesso nella cartella di Sistema usando il nome

anti_troj.exe

Allo scopo di venire eseguito in automatico ad ogni avvio del sistema, il programma aggiunge le seguenti chiavi di Registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

dove aggiunge un riferimento al file anti_troj.exe.

Il worm crea e mostra un’immagine sullo schermo (%SysDir%\ntimage.gif). Questo avviene soltanto una volta, quando il programma crea anche la seguente chiave di Registro

HKEY_CURRENT_USER\Software\FirstRRRun\FirstRRRun

Il downloader contiene una lista di 51 indirizzi, dai quali tenta ripetutamente di scaricare un file. Se ha successo, il file viene salvato con un nome casuale all’interno della cartella

%SysDir%\exefld e quindi viene eseguito.