Network Security Distributor
 
   
 SYMBOLIC
 Antivirus Security Division
 
 1 Marzo 2005
 
 NOME: Bagle.BB
 ALIAS: Email-Worm.Win32.Bagle.bb

Descrizione breve

Questa nuova variante ha iniziato a diffondersi il 1 Marzo 2005. Questo non è un vero e proprio Bagle ma ha più l'aspetto di un Trojan Downloader.

Descrizione dettagliata

Bagle.BB non si trasmette tramite E-Mail infette. Quando viene eseguito scarica i file winshost.exe e wiwshost.exe.

Questo nuovo Worm disabilita molti Anti-Virus e Tool di Sicurezza, il file di sistema HOSTS viene sovrascritto per prevenire l'accesso ai siti degli Anti-Virus:

127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com

Questa variante tenta di scaricare un file eseguibile con nome "zo2.jpg" da una dozzina di siti di download. Come di consueto, la maggior parte di questi siti in questo momento non contengono questi files, ma prossimamente conterranno differenti spam proxies o backdoors:

www.amanit.ru/zo2.jpg
www.anthonyflanagan.com/zo2.jpg
www.approved1stmortgage.com/zo2.jpg
www.argument.h12.ru/zo2.jpg
www.arkebek.de/zo2.jpg
www.artek.org/zo2.jpg
www.asianfestival.nl/zo2.jpg
www.astergut.at/zo2.jpg
www.aviation-center.de/zo2.jpg
www.bbsh.org/zo2.jpg
www.besino.com/zo2.jpg
www.bestbuy.de/zo2.jpg
www.beta.mtw.ru/zo2.jpg
www.bga-gsm.ru/zo2.jpg
www.blessino.com/zo2.jpg
www.blueeyeinc.com/zo2.jpg
www.breaklight.be/zo2.jpg
www.brzesko.net.pl/zo2.jpg
www.catsystem.com.kg/zo2.jpg
www.cdnpartner.com.pl/zo2.jpg
www.ceskyhosting.cz/zo2.jpg
www.channeland.com/zo2.jpg
www.compsolutionstore.com/zo2.jpg
www.concept.kg/zo2.jpg
www.corpsite.com/zo2.jpg
www.couponcapital.net/zo2.jpg
www.DarrkSydebaby.com/zo2.jpg
www.dehut-westerhoven.nl/zo2.jpg
www.dhl.kg/zo2.jpg
www.dierollendedisco.de/zo2.jpg
www.discobaradventure.be/zo2.jpg
www.e-nfo.com/zo2.jpg
www.e-power.com.cn/zo2.jpg
www.ecobank.kg/zo2.jpg
www.elenalazar.com/zo2.jpg
www.epicbiz.com/zo2.jpg
www.europa.kg/zo2.jpg
www.everett.wednet.edu/zo2.jpg
www.externet.hu/zo2.jpg
www.forester.kg/zo2.jpg
www.fotocliparts.de/zo2.jpg
www.fotonw.org/zo2.jpg
www.freesites.com.br/zo2.jpg
www.funbunker.de/zo2.jpg
www.funworld.tv/zo2.jpg
www.gameser.com@share.gameser.com/zo2.jpg
www.gci-bln.de/zo2.jpg
www.gcnet.ru/zo2.jpg
www.giantrevenue.com/zo2.jpg
www.himpsi.org/zo2.jpg
www.i3dvr.com/zo2.jpg
www.ibigmart.net/zo2.jpg
www.idb-group.net/zo2.jpg
www.illusionoflife.net/zo2.jpg
www.infocuspromo.com/zo2.jpg
www.irinaswelt.de/zo2.jpg
www.jansenboiler.com/zo2.jpg
www.jasnet.pl/zo2.jpg
www.jcribeiro.com/zo2.jpg
www.jewelleryamberproducts.com/zo2.jpg
www.jimvann.com/zo2.jpg
www.jldr.ca/zo2.jpg
www.jordanramey.net/zo2.jpg
www.joy-musik-sound.de/zo2.jpg
www.justrepublicans.com/zo2.jpg
www.katel.kg/zo2.jpg
www.knicks.nl/zo2.jpg
www.koebers.pl/zo2.jpg
www.kogaionon.com/zo2.jpg
www.kplus.kg/zo2.jpg
www.kradtraining.de/zo2.jpg
www.kranenberg.de/zo2.jpg
www.kranenberg.de:113547@/zo2.jpg
www.kstrus.com.pl/zo2.jpg
www.ktsonline.de/zo2.jpg
www.lahelaino.com/zo2.jpg
www.lawform.com.au/zo2.jpg
www.leetexgroup.com/zo2.jpg
www.leshrak.de/zo2.jpg
www.leshrak.de:prophets@/zo2.jpg
www.logoseiten.de/zo2.jpg
www.magicbottle.com.tw/zo2.jpg
www.mcuserver.cz/zo2.jpg
www.mega-spass.com/zo2.jpg
www.mega.kg/zo2.jpg
www.mepbisu.de/zo2.jpg
www.mepmh.de/zo2.jpg
www.mtfdesign.com/zo2.jpg
www.mtransit.kg/zo2.jpg
www.neotech.kg/zo2.jpg
www.nikonfotoshare.com/zo2.jpg
www.novosti.kg/zo2.jpg
www.ok.kg/zo2.jpg
www.onepositiveplace.org/zo2.jpg
www.online.kg/zo2.jpg
www.orangesuburban.5u.com/zo2.jpg
www.otv.ch/zo2.jpg
www.pageantpage.com/zo2.jpg
www.pankration.com/zo2.jpg
www.para-agility.com/zo2.jpg
www.pdxracing.net/zo2.jpg
www.pfadfinder-leobersdorf.com/zo2.jpg
www.pipni.cz/zo2.jpg
www.pjwstk.edu.pl/zo2.jpg
www.polizeimotorrad.de/zo2.jpg
www.proway-consulting.com/zo2.jpg
www.pugetsoundyc.org/zo2.jpg
www.pyrlandia-boogie.pl/zo2.jpg
www.qphoto.co.za/zo2.jpg
www.raecoinc.com/zo2.jpg
www.realgps.com/zo2.jpg
www.realty.kg/zo2.jpg
www.redlightpictures.com/zo2.jpg
www.reliance-yachts.com/zo2.jpg
www.relocationflorida.com/zo2.jpg
www.rentalstation.com/zo2.jpg
www.rieraquadros.com.br/zo2.jpg
www.roaming.kg/zo2.jpg
www.sacohalle.be/zo2.jpg
www.scanex-medical.fi/zo2.jpg
www.scoping4success.com/zo2.jpg
www.sert.ru/zo2.jpg
www.sigi.lu/zo2.jpg
www.spadochron.pl/zo2.jpg
www.ssc.kg/zo2.jpg
www.ssmifc.ca/zo2.jpg
www.stadtmeyers.de/zo2.jpg
www.stadtmeyers.de:R2D2c3po@/zo2.jpg
www.sterlingirb.com/zo2.jpg
www.sunassetholdings.com/zo2.jpg
www.szantomierz.art.pl/zo2.jpg
www.szosa.pl/zo2.jpg
www.tambourenvereine.ch/zo2.jpg
www.tarnow.opoka.org.pl/zo2.jpg
www.tc-muraene.com/zo2.jpg
www.tc-muraene.com:hunter@/zo2.jpg
www.theroyalregistry.com/zo2.jpg
www.transportation.gov.bh/zo2.jpg
www.tumar.kg/zo2.jpg
www.tunguska.hu/zo2.jpg
www.turkeyhomes.com/zo2.jpg
www.turkeyhomes.com@/zo2.jpg
www.ulpiano.org/zo2.jpg
www.unicity.pl/zo2.jpg
www.vbw.info/zo2.jpg
www.velezcourtesymanagement.com/zo2.jpg
www.vorrix.com/zo2.jpg
www.webpark.pl/zo2.jpg
www.wecompete.com/zo2.jpg
www.wp.pl/zo2.jpg
www.wwwebad.com/zo2.jpg
www.xpager321.wz.cz/zo2.jpg
www.yamdiamonds.com/zo2.jpg
www.zander-yachting.com/zo2.jpg

Questo worm esegue delle modifiche alle chiavi di registro relative a Windows BITS technology. Questo è il "Background Intelligent Transfer Services" usato da Windows Update.

Rilevazione

La rilevazione di Bagle.BB è stata rilasciata il 1 Marzo 2005 con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2005-03-01_01

Descrizione: Mikko Hypponen, 1 Marzo 2005;

Dettagli tecnici: Tzvetan Chaliavski, 28 Febbraio 2005;

F-Secure Corporation


  Contatti | Dove Siamo | Trademark