Descrizione breve

Bagle.B è stato rilevato la prima volta il 17 Febbraio 2004.
Si diffonde per mezzo di messaggi di posta elettronica con subject ed allegato casuali.
Bagle.B si sta diffondendo rapidamente ed è stato programmato per fermarsi il 25 di Febbraio

Tool di disinfezione

F-secure ha sviluppato uno speciale tool di disinfezione per questo worm. Il tool individua e rimuove un'infezione attiva dal computer.

Il tool di disinfezione può essere scaricato, in formato ZIP, al seguente link:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip

http://www.f-secure.com/tools/f-bagle.zip

La versione estratta del tool è reperibile a:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt

http://www.f-secure.com/tools/f-bagle.exe

http://www.f-secure.com/tools/f-bagle.txt

Disinfezione

La disinfezione manuale di Bagle si effettua seguendo questi passi:

1, Eliminare la seguente chiave del registro e riavviare il computer:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe]

e terminare il processo 'au.exe' con il Task Manager

2, Eliminare il worm dalla directory di sistema di windows: %SysDir%\au.exe

Descrizione dettagliata

Rilevato il 17 Febbraio 2004, Bagle.B è una variante di Bagle. Come il suo predecessore è un mass-mailing worm. Il worm manda messaggi di posta con subject 'ID [stringa casuale]... thanks' ed allegato un file EXE. Inoltre installa una backdoor. Questo worm è stato programmato per cessare la sua attività il 25 Febbraio.

L'eseguibile del worm ha un'icona che rappresenta un file audio. Una volta eseguito il worm lancia il Sound Recorder (Registratore di suoni) di Windows, eseguendo l'applicazione "sndrec32.exe".

Infezione del sistema

Il worm si copia in:

%sysdir%\au.exe

e modifica la chiave di registro:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"au.exe" = %sysdir%\au.exe

Dove %sysdir% è la directory di sistema di Windows.

Anche le seguenti chiavi vengono usate dal worm:

[HKCU\SOFTWARE\Windows2000\gid]

[HKCU\SOFTWARE\Windows2000\frn]

Il worm accede a tre differenti URL contenuti nel suo codice. Sono localizzabili su tre differenti siti web:

www.47df.de
www.strato.de
intern.games-ring.de

E' consigliato bloccare l'accesso a questi siti.

Diffusione via mail

Il worm manda mail con le seguenti caratteristiche:

Subject:

Subject: ID <random characters>... thanks

Il corpo del messaggio potrà avere la seguente forma:

Yours ID <random characters>
--
Thank

Il nome dell'allegato sarà del tipo:

<random characters>.exe

Il worm colleziona indirizzi mail da file con queste estensioni:

.html
.htm
.wab
.txt

E' in grado di inviare mail ad indirizzi contenenti una di queste stringhe:

.r1u
@hotmail.com
@msn.com
@microsoft
@avp.

Payload

Questa variante contiene una backdoor che ascolta sulla porta 8866. Permette di accedere al computer dove il worm è in esecuzione, e permette di eseguire e scaricare un qualsiasi eseguibile, con un formato opportuno, inviato alla backdoor.

Rilevazione

F-Secure Anti-Virus per Windows rileva Bagle.B con gli aggiornamenti pubblicati il 17 Febbraio 2004:

[FSAV_Database_Version]

Version=2004-01-17_02

Descrizione: Katrin Tocheva 17 Febbraio 2004;

Dettagli tecnici: Ero Carrera, 17 Febbraio 2004;

F-Secure Corporation