Descrizione breve

Ancora un'altra variante del worm Bagle si stà diffondendo. E' stata rilevata la prima volta il 28 Febbraio 2004.
Bagle.C invia email con soggetti (Subject) che cambiano e allegato un file EXE compresso con l'icona di un foglio Excel.

Il worm contiene una backdoor che ascolta sulla porta TCP 2745 e disabilita dei software di sicurezza.

Questa variante è stata programmata per fermarsi dopo il 14 Marzo 2004.

Tool di Disinfezione

F-Secure ha rilasciato un tool in grado di rimuovere Bagle.C. Il tool di disinfezione e' disponibile al download ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe
ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip

Istruzioni per la disinfezione sono disponibili al seguente link:

ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt

Disinfezione

La disinfezione manuale del worm Bagle consite nei seguenti passaggi:

1, Eliminare la seguente chiave dal registro e riavviare il computer:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe]

2, Eliminare il file del worm dalla directory di Sistema di Windows

%SysDir%\readme.exe
%SysDir%\onde.exe
%SysDir%\doc.exe

Infezione

Dopo essere stato eseguito Bagle.C copia vari file nella cartella di sistema di Windows:

%SysDir%\readme.exe - contenitore di altre componenti
%SysDir%\onde.exe - parte principale del worm
%SysDir%\doc.exe - libreria esterna

'Readme.exe' viene aggiunto al registro nella chiave

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe]

per assicurarsi che il worm si attivi quando Windows parte.

Per mostrare che il worm è stato eseguito per la prima volta crea una altra chiave di registro

[HKCU\Software\DateTime2\frun]

La prima volta che è avviato Bagle.C esegue Notepad (notepad.exe) in modo da nascondere la propria presenza.

Propagazione via email

Bagle.C cerca in tutti i drive del sistema file che possono contenere indirizzi di email. Analizza questi file e ne estrae gli indirizzi.

I file con le seguenti estensioni sono analizzati:

.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht

Utilizzando un proprio motore SMTP Bagle invia dei messaggi infetti agli indirizzi raccolti. Il motore SMTP utilizza il record MX del dominio per l'invio dei messaggi e quindi non dipende da come è settato il computer.

Le email infette possono avere i seguenti Soggetti:

New Price-list
Hardware devices price-list
Weekly activity report
Daily activity report
Maria
Jenny
Jessica
Registration confirmation
USA government abolishes the capital punishment
Freedom for everyone
Flayers among us
From Hair-cutter
Melissa
Camila
Price-list
Pricelist
Price list
Hello my friend
Hi!
Well...
Greet the day
The account
Looking for the report
You really love me? he he
You are dismissed
Accounts department
From me
Monthly incomings summary
The summary
Proclivity to servitude
Ahtung!
The employee

Il corpo del messaggio è vuoto. L'allegato è un file ZIP con un nome casuale lungo fino a 8 caratteri e formato dalle lettere 'a', 'd' e 'c'. Il mittente del messaggio è falsificato

Indirizzi che contengono le seguenti parti sono ignorati:

.ch
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@

Backdoor

Bagle.C contiene una backdoor che ascolta sulla porta 2745 TCP. La backdoor permette un controllo completo da remoto. Può essere usata per scaricare e eseguire file.

Quando si avvia il worm si connette ad una lista di siti web predefiniti e cerca di accedere a un file PHP con determinati parametri. Uno di questi parametri è la porta su cui la backdoor è in attesa il che può far pensare che questa operazione serva a raccogliere gli indirizzi dei computer infettati.

Disabilitazione di Software di Sicurezza

Il payload di Bagle.C contiene un thread che ferma i processi con i seguenti nomi:

ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE

Rilevazione

F-Secure Anti-Virus rileva Bagle.C con gli aggiornamenti pubblicati il 28 Febbraio 2004:

[FSAV_Database_Version]

Version=2004-02-28_01