Descrizione breve

Bagle è un mass-mailing worm rilevato la prima volta il 18 Gennaio 2004.
Il worm manda messaggi con subject 'Hi' e come allegato un file EXE dal nome casuale.
E' programmato per arrestare la sua diffusione il 28 gennaio

Tool di disinfezione

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip

Istruzioni per la disinfezione:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt

Tool per amministrazioni centralizzate:

http://www.europe.f-secure.com/tools/f-bagle.jar

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-bagle.jar

Disinfezione manuale

La disinfezione manuale del worm Bagle consiste nei seguenti passi: 1, Eliminare la seguente chieve del registro e riavviare la macchina:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe]

oppure

terminare il processo 'bbeagle.exe' con il Task Manager

2, Eliminare il worm dalla cartella di sistema:

%SysDir%\bbeagle.exe

Descrizione dettagliata

Dopo l'esecuzione, Bagle si copia nella directory di sistema di Windows con il nome 'bbeagle.exe'. Questo file viene aggiunto al registro con la seguente chiave

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe]

per assicurarsi di essere attivato quando il sistema si riavvia.

Il worm aggiunge un'altra chiave di registro per salvare il momento in cui si è attivato la prima volta:

[HKCU\Software\Windows98\frun]

Quando il worm si avvia la prima volta avvia la calcolatrice di windows (calc.exe) per nascondere la sua presenza

Propagazione tramite E-mail

Bagle ricerca ricorsivamente all'interno di tutti i dispositivi della macchina infettata per scovare files WAB (Windows Address Book), file di testo ed HTML. Li scandisce e colleziona gli indirizzi mail che riesce a trovare.

I file con queste estensioni vengono controllati:

.WAB
.TXT
.HTM
.HTML
Usando il suo motore SMTP Bangle manda messaggi con allegati infetti agli indirizzi raccolti. L' Smtp usa Mail eXchange (MX) lookup sul dominio bersaglio così da non dipendere dai settaggi della macchina infettata

Le email che Bangle invia hanno le seguenti caratteristiche:

Subject: Hi
Body: Test =)
<caratteri casuali>

-- Test, yep.

Attachment: <nome casuale>

La routine di ricerca delle mail ignora tutti gli indirizzi che contengono queste stringhe:

.r1
@hotmail.com
@msn.com
@microsoft
@avp.

Payload

Bagel contiene una backdoor che è in ascolto sulla porta TCP 6777 che è inserita staticamente nel corpo del worm. Questa backdoor permette di accedere da remoto su una macchina infetta. Può essere sfruttata per scaricare ed eseguire programmi da Internet.

Quando il worm è attivo tenta di connettersi ad una lista di web server predefiniti e prova ad accedere ad un file PHP con dei parametri particolaei. Uno dei parametri è la porta TCP dove la backdoor sta ascoltando. Questo suggerisce che questa funzionalità venga usata per raccogliere gli indirizzi delle macchine infette.

Il worm Bagle tenta di scaricare il trojan Mitglieder dal web. Maggiori informazioni su questo trojan sono disponibili a questo link:

http://www.symbolic.it/Rassegna/mitglieder.html

Rilevazione

F-Secure Anti-Virus per Windows rileva Bagle con gli aggiornamenti pubblicati il 19 Gennaio 2004:

[FSAV_Database_Version]

Version=2004-01-19_01

Dettagli tecnici: Katrin Tocheva, 18 Gennaio, 2004;

Aggiornamenti e dettagli tecnici: Gergely Erdelyi, 19 Gennaio, 2004;

F-Secure Corporation