Network Security Distributor
 
   
 SYMBOLIC
 Antivirus Security Division
 
 27 Gennaio 2005
 
 NOME:Bagle.AY
 ALIAS:I-Worm.Bagle.AY, W32.Beagle.AY@mm, W32/Bagle.bk@MM


Descrizione Breve

Una nuova variante del worm Bagle è stata rilevata il 27 Gennaio, il mail worm Bagle.AY ha iniziato a propagarsi in modo piuttosto aggressivo. Bagle.AY si propaga con email dal contenuto variabile e allegati eseguibili (COM, EXE, SCR e CPL); può inoltre diffondersi mediante reti Peer-to-Peer. Una volta installato nel sistema, agisce come un Retrovirus, bloccando i processi di diversi programmi di sicurezza; attiva inoltre una backdoor sulla porta TCP 81
Questo worm è programmato per terminare la propria attività il 25 Aprile 2006

Tool di Disinfezione

F-Secure ha rilasciato un tool in grado di rimuovere Bagle.AY. Il tool di disinfezione e' disponibile al download ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip

http://www.f-secure.com/tools/f-bagle.exe

http://www.f-secure.com/tools/f-bagle.zip

Istruzioni per la disinfezione sono disponibili al seguente link:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt

http://www.f-secure.com/tools/f-bagle.txt

Gli amministratori di sistema che usano F-Secure Policy Manager, possono distribuire il tool in formato jar in tutte le workstation in modo automatico.

Il tool di disinfezione in formato jar e' disponibile al download ai seguenti link:

http://www.f-secure.com/tools/f-bagle.jar

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.jar

Descizione Dettagliata

Bagle.AY arriva tramite e-mail come file eseguibile compresso. Bagle.AY può anche diffondersi nel formato Windows Control Panel Applet (CPL).

Il 25 Aprile 2006 il worm si auto-disinstallerà dal sistema infetto cancellando la chiave di registro e terminando il proprio processo.

Questo worm usa icone diverse per gli allegati che invia, di seguito un'esempio di alcune icone


Infezione del sistema

Quando Bagle.AY infetta un sistema crea una copia di se stesso nella cartella di Windows con il nome wingo.exe. Questo file viene aggiunto anche al registro di sistema di Windows

HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"sysformat" = "%SystemDir%\sysformat.exe"

%SystemDir% rappresenta la cartella di sistema di Windows , per esempio C:\Windows\System32 se avete installato Windows XP.

Il worm crea 2 file nella cartella di sistema di Windows :

sysformat.exeopen
sysformat.exeopenopen

Questi file vengono usati quando il worm cerca di diffondersi tramite e-mail

Propagazione e-mail

Bagle.AY prima di propagarsi esegue una scansione del disco rigido cercado di collezionare indirizzi e-mail. Saranno cercati file con le seguenti estensioni:

wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Il worm non si trasmette agli indirizzi e-mail che contengono le seguenti sottostringhe:

@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
@avp.
noreply
local
root@
postmaster@

Bagle.AY si diffonde con un allegato con estensione exe, cpl, scr oppure com.

Quando la diffusione di Bagle.AY avviene come file di Windows Control Panel Applet (CPL) , il worm crea una copia di se stesso con il nome cjector.exe nella cartella principale di Windows e uno nella cartella System di Windows.

Bagle.AY si propaga tramite allegato a mail infette. Il subject viene scelto tra uno dei seguenti:

Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active

Il body della e-mail viene scelto in modo random da una lista predifinita:

Thanks for use of our software
Before use read the help

L'allegato e' composto dalle stringhe:

wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03

l'estesione dell'allegato e' una tra le seguenti:

.exe
.scr
.com
.cpl

Backdoor

Il worm installa una backdoor che ascolta sulla porta 81. Il codice di questa backdoor è cifrato tramite una password. L'autore del worm che è a conoscenza della password può collegarsi ai computer infetti ed eseguire programmi arbitrari. I computer che sono stati infettati vengono segnalati all'autore tramite indirizzi URL predefiniti

Download ed esecuzione del file

Il worm tenta di scaricare un file da una lista predefinita di url. Il file scaricato viene salvato su disco con il seguente nome:

%SystemDir%\re_file.exe

Diffusione via peer-to-peer

Bagle.AY esegue una scansione del disco rigido cercando cartelle che contengono nel nome la sottostringa "shar" per poi creare una copia di se stesso all'interno di questa cartella con uno dei seguenti nomi:

1.exe
2.exe
3.exe
4.exe
5.exe
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Cambio dell'icona dell'eseguibile

Quando il worm crea una copia di sè stesso su disco, o si invia tramite e-mail, cambia l'icona del file esguibile, prendendone una in modo random dal disco rigido del computer

Interruzione dei software di sicurezza

Bagle.AY termina i processi di sicurezza, dei software antivirus e di alcune altre applicazioni. I processi delle seguenti applicazioni sono terminati:

mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe

Rilevazione

La rilevazione di Bagle.AY e' disponibile dal 27 Gennaio 2005 con il seguente aggiornamento di F-Secure Anti-Virus

[FSAV_Database_Version]

Version=2005-01-27_01

Descrizione: Katrin Tocheva, January 27 Gennaio 2005

Dettagli Tecnici: Gergely Erdelyi, Jarkko Turkulainen 27 Gennaio 2005

F-Secure Corporation

  Contatti | Dove Siamo | Trademark