Descrizione Breve

Bagle.AT è un mass-mailing worm compatibile con la diffusione Peer-to-Peer. Bagle.AT si trasmette con subjects, email bodies e file allegati di diversi tipi. L'allegato è un file eseguibile che può avere una tra le seguenti estensioni .EXE .SCR .COM .CPL
Questo worm è programmato per terminare la propria attività il 25 Aprile 2006.

Tool di Disinfezione

F-Secure ha rilasciato un tool in grado di rimuovere Bagle.AT. Il tool di disinfezione e' disponibile al download ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe
ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip

Istruzioni per la disinfezione sono disponibili al seguente link:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt

Descizione Dettagliata

Bagle.AT arriva tramite e-mail come file eseguibile compresso. Bagle.AT può anche diffondersi nel formato Windows Control Panel Applet (CPL).

Il 25 Aprile 2006 il worm si auto-disinstallerà dal sistema infetto cancellando la chiave di registro e terminando il proprio processo.

Questo worm usa icone diverse per gli allegati che invia

Infezione del sistema

Quando Bagle.AT infetta un sistema crea una copia di se stesso nella cartella di Windows con il nome wingo.exe. Questo file viene aggiunto anche al registro di sistema di Windows

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wingo" = "%SystemDir%\wingo.exe"

%SystemDir% rappresenta la cartella di sistema di Windows , per esempio C:\Windows\System32 se avete installato Windows XP.

Il worm crea 2 file nella cartella di sistema di Windows :

wingo.exeopen
wingo.exeopenopen

Questi file vengono usati quando il worm cerca di diffondersi tramite e-mail

Propagazione e-mail

Bagle.AT prima di propagarsi esegue una scansione del disco rigido cercado di collezionare indirizzi e-mail. Saranno cercati file con le seguenti estensioni:

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Il worm non si trasmette agli indirizzi e-mail che contengono le seguenti sottostringhe:

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

Quando la diffusione di Bagle.AT avviene tramite come file di Windows Control Panel Applet (CPL) , il worm crea una copia di se stesso con il nome cjector.exe nella cartella principale di Windows e uno nella cartella System di Windows.

Bagle.AT si propaga tramite allegato a mail infette. Il subject viene scelto tra uno dei seguenti:

Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi

L'allegato e' composto dalle stringhe:

Price
price
Joke

l'estesione dell'allegato e' una tra le seguenti:

exe
.scr
.com
.cpl

Backdoor

Il worm installa una backdoor che ascolta sulla porta 81. Il codice di questa backdoor è cifrato tramite una password. L'autore del worm che è a conoscenza della password può collegarsi ai computer infetti ed eseguire programmi arbitrari. I computer che sono stati infettati vengono segnalati all'autore tramite indirizzi URL predefiniti.

Diffusione via peer-to-peer

Bagle.AT esegue una scansione del drive e quando trova una cartella che contiene nel nome la sottostringa "shar" vi si copia all'interno con uno dei seguenti nomi

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Interruzione dei software di sicurezza

Bagle.AT termina i processi di sicurezza, dei software antivirus e di alcune altre applicazioni. I processi delle seguenti applicazioni sono terminati:

mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe

Disinstallazione del worm NetSky

Per disabilitare il worm NetSky, il Bagle.AT rimuove un certo numero di chiavi di registro

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

Normalmente il worm crea Mutex con nomi che vengono usati normalmente dal worm NetSky. Determinate versioni di NetSky non infetteranno computer dove il Bagle.AT è attivo.

Rilevazione

La rilevazione di Bagle.AT e' disponibile dal 29 Ottobre 2004 con il seguente aggiornamento di F-Secure Anti-Virus:

[FSAV_Database_Version]

Version=Version=2004-10-29_01

Descrizione: Gergely Erdelyi, 29 Ottobre, 2004;

F-Secure Corporation