Descrizione Breve
Bagle.AS si diffonde con un allegato Price o Joke-related con estensione
exe, cpl, scr oppure com. Il worm installa una backdoor che ascolta sulla
porta TCP 81 e su una porta UDP. Bagle.AS si diffonde anche per mezzo
di reti peer-to-peer.
Descizione dettagliata
Bagle.AS si propaga con un allegato a mail infette. Il subject viene scelto
tra uno dei seguenti:
Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi
L'allegato e' composto dalle stringhe:
Price
price
Joke
l'estesione dell'allegato e' una tra le seguenti:
exe
.scr
.com
.cpl
Quando eseguito, Bagle.AS crea un mutex e crea i seguenti file:
%windir%\cjector.exe
%windir%\system32\bawindo.exe
%windir%\system32\bawindo.exeopen
%windir%\system32\bawindo.exeopenopen
Crea una chiave di registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bawindo
ed imposta il suo valore a
%windir%\system32\bawindo.exe.
Se sono presenti, le seguenti chiavi di registro vengono eliminate sia
da
"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
che da
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
My AV
Zone Labs Client EX
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MyInfo
SysMonXP
EasyAV
PandaAVEngine
NortonAntivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Bagle.AS colleziona indirizzi mail dal disco locale e da file con le
seguenti estensioni
wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
Il worm utilizza un suo SMTP engine per inviare le mail infette. Il messaggio
inviato ha mittente fasullo. Quando Bagle.AS costruisce l'indirizzo mail
fasullo ignora le seguenti stringhe:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kaspadmin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana.free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp
Diffusione via peer-to-peer
Bagle.AS individua le cartelle contenenti "shar" e vi si copia
all'interno con uno dei seguenti nomi:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Processi fermati
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
Bagle.AS installa una backdoor che ascolta sulla porta TCP 81 e su una
UDP
Rilevazione
La rilevazione di Bagle.As e' disponibile dal 29 Settembre 2004 nelle
seguenti aggiornamenti di F-Secure Anti-Virus:
[FSAV_Database_Version]
Version=2004-09-29_01
Descrizione: Mikko Hypponen, Katrin Tocheva and Tzvetan Chaliavski, 28-29
Settembre, 2004;
F-Secure Corporation
|
