UserID
   
 Password
 
 

Non sei ancora registrato
a MC-link.NET?



I nostri Editoriali:

09/03/2004
 		 Categoria: Virus Warning 
Titolo: VIRUS ALERT: Win32.Bagle.{C-E}@mm 
Il BitDefender Virus Research Team ci informa della scoperta del seguente WORM

NOME: Win32.Bagle.{C-E}@mm


TIPOLOGIA: EXECUTABLE BACKDOOR MASS MAILER
DIMENSIONI: 15944 Bytes
SCOPERTO IL: 28 febbraio 2004
DANNI: BASSO LIVELLO SINTOMI:
La presenza delle seguenti chiavi di registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\gouday.exe valore "C:\Windows\System\readme.exe"
HKCU\Software\DateTime2\frun valore "1"
HKCU\Software\DateTime2\port valore "2745"
HKCU\Software\DateTime2\uid wvalore variabile

Ascolto sulla porta 2745

Presenza dei seguenti files:
C:\Windows\System\doc.exe, 1536 bytes
C:\Windows\System\readme.exe, 15872 bytes
C:\Windows\System\onde.exe, 18944 bytes
C:\Windows\System\readme.exeopen, 15994 bytes


DESCRIZIONE TECNICA:
Il mass Mailer ha una dimensione di circa 115944 BYtes e viene inviato come allegato come file compresso .ZIP


Le E-mail infette arrivano nel seguente formato:

campo mittente: (non indicativo)


campo Oggetto: [una delle seguenti frasi]

Price
New Price-list
Hardware devices price-list
Weekly activity report
Daily activity report
Maria
Jenny
Jessica
Registration confirmation
USA government abolishes the capital punishment
Freedom for everyone
Flayers among us
From Hair-cutter
Melissa
Camila
Price-list
Pricelist
Price list
Hello my friend
Well...
Greet the day
The account
Looking for the report
You really love me? he he
You are dismissed
Accounts department
From me
Monthly incomings summary
The summary
Proclivity to servitude
Ahtung!
The employee

Corpo del Testo:VUOTO

ALLEGATO:(bytes casuali).EXE

Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message

Una volta eseguito il Worm copia solo quattro files nella directory Windows\System con le seguenti caratteristiche:

- readme.exe, il virus in formato decompresso, una chiave viene inserita nel registo in modo che venga eseguito ad ogni avvio del sistema operativo .

- doc.exe un file che ha il compito di eseguire onde.exe

- onde.exe č il componente primario del virus, Governa tutto il Mass-Mailing

- Readme.exeopen č la versione compressa del virus, il file in archivio pronto ad essere inviato in massmail con un nome casuale.

al primo avvio il worm attiva notepad.exe, quindi controlla la data del sistema e se questa č seguente il 14 marzo 2004 il worm si disattiva.

Il Worm crea le chiavi di registro descritte fra i Sintomi e attiva una Backdoor in ascolto sulla porta 2745.

Il Worm crea una serie di threads che svolgono una serie di funzioni

- ogni 100 millisecondi disattiva tutti i processi con nome:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE

- ogni 2000 millisecondi controlla se si č connesi ad internet

- circa ogni 3ore e 10min si connette ai seguenti indirizzi con il nome di "i_am_ideal":
http://permail.uni-muenster.de
http://www.songtext.net/de
http://www.sportscheck.de

Il worm cercherą il computer host per i nomi di file con le seguenti estensioni, estraendo gli indirizzi e-mail da quest'ultimi:

.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.adb
.sht
Il Worm non si invierą a indirizzi contenenti le seguenti stringhe:

@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@

UPDATE1: sembra ci sia una nuova variante di Bagle. Il virus č stato riconosciuto da BiDefender com Win32.bagle.D@mm ed č simile alla variante C ci sono solo alcune differenze minori
- il nome utente per connettersi ai siti menzionati varia in "al"
- la registry key "DateTime2" č chiamato "DateTime3". il percorso rimane invariato



UPDATE2: sembra ci sia un ulteriore nuova variante di Bagle. Il virus č stato riconosciuto da BiDefender com Win32.bagle.E@mm eci siano molte piu' differenze rispetto alla variante C
- il messaggio inviato dal virus ha adesso uno dei seguenti oggetti:

Subj
Request
Empty
Response
Everything inside the attach
Look it through

- i nomi dei files copiati cambiano come segue

doc.exe rinominato ii455nj4.exe
readme.exe rinominato i1ru74n4.exe
readme.exeopen rinominato i1ru74n4.exeopen
ondo.exe rinominato godo.exe

Notare che la misura del file "i1ru74n4.exe"ora č variabile

- il nome utente per connettersi ai siti menzionati varia in "oclivity"

-i registry keys sono cambiati in:

HKCU\Software\DateTime4, with the only subkey "frun = 1".
HKCU\Software\Microsoft\Windows\CurrentVersion\Run, with the subkey "rate.exe = C:\Windows\System\i1ru74n4.exe"

-La data di disattivazione del virus č stata cambiata da 14 a 25 marzo 2004

-L'allegato interno al file ZIP ha cambiato pacchettizzazione da UPX a PEX



Virus analizzato da DANIEL INOITA, Virus Researcher



VIRUS ALERT INVIATO DAL BITDEFENDER VIRUS RESEARCH TEAM


VISITATE IL SITO http://www.bitdefender.com/html/free_tools.php PER LE PATCH AGGIORNATE

BITDEFENDER.....Secure Your Every Bit


Traduzione a cura del Settore Tecnico Malpensa Web Network s.r.l. 


Ritorna alla pagina principale Editoriali'

..........................................................................................................................................................

© Copyright - 2002 MWN srl. Tutti i diritti sono riservati.
E' vietata la riproduzione anche parziale.
info@malpensaweb.com | Condizioni generali per l'uso del sito | Privacy