Descrizione breve

Ancora un'altra variante del worm Bagle si stà diffondendo. E' stata rilevata la prima volta il 28 Feebbraio 2004.
Questa variante è compressa con PeX al posto di UPX, usato nelle varianti C e D. Il file è leggermente più grande

Il worm contiene una backdoor che ascolta sulla porta TCP 2745 e disabilita dei software di sicurezza.

Questa variante è stata programmata per fermarsi dopo il 14 Marzo 2004

Disinfezione

La disinfezione manuale del worm Bagle consite nei seguenti passaggi:

1, Eliminare la seguente chiave dal registro e riavviare il computer:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe]

2, Eliminare il file del worm dalla directory di Sistema di Windows

%SysDir%\i1ru74n4.exe
%SysDir%\godo.exe
%SysDir%\ii455nj4.exe

Descrizione dettagliata

Bagle.E è molto simile alle versioni C e D con queste differenze:

- differente metodo con cui è stato compresso

- le e-mail inviate ora hanno testo nel loro corpo

- il file Zip allegato ha un nome generato con lettere casuali

- il parametro UID è stato rimosso dalla reportistica PHP

- Il randomizzatore di numero di porta, comunque inattivo, è stato rimosso

- alcuni cambiamenti neli nomi delle variabili interne

Infezione del sistema

Dopo l'esecuzione, Bagle.E copia alcuni file nella directori di sistema di Windows.

Directory:

%SysDir%\i1ru74n4.exe - dropper of other components
%SysDir%\godo.exe - main worm body
%SysDir%\ii455nj4.exe - external library helper

'i1ru74n4.exe' è aggiunto al registro di sitema come:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe]

per essere sicuri che il worm verrà attivato quando il sitema si avvia.

Per iondicare la data di prima attivazione del worm viene creata la seguente chiave:

[HKCU\Software\DateTime4\frun]

Quando viene avviato la prima volta il worm avvia il Blocco note di Windows per avvertire della sua presenza.

Diffusione via mail

Bagle.E scandisce ricorsivamente tutti i driv dei computer infetti per trovare file che potrebbero contenere indirizzi e-mail. Analizza il contenuto di questi file e colleziona tutti gli indirizzi e-mail che può trovare.

I file con queste estensioni vengono scanditi:

.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht

Usando ilsuo motore SMTP interno Bagle invia messaggi infetti a tutti gli indirizzi e-mail collezionate. Il motore SMTP fa una richiesta diretta di tipo MX (Mail eXchange) sul dominio di destinazione in modo da essere indipendente dai settings del computer infettato.

Le mail infette possono avere i seguenti subject:

New Price-list
Hardware devices price-list
Weekly activity report
Daily activity report
Maria
Jenny
Jessica
Registration confirmation
USA government abolishes the capital punishment
Freedom for everyone
Flayers among us
From Hair-cutter
Melissa
Camila
Price-list
Pricelist
Price list
Hello my friend
Hi!
Well...
Greet the day
The account
Looking for the report
You really love me? he he
You are dismissed
Accounts department
From me
Monthly incomings summary
The summary
Proclivity to servitude
Ello!
Ahtung!
The employee

Il corpo del messaggio può essere uno dei seguenti

Subj
Request
Empty
Response
Everything inside the attach
Look it through
Cya

L'allegato è un file ZIP con un nome generato casualmente da lettere 'a' ed 'e' ed è lungo almeno 8 caratteri. Il mittente della mail è cammuffato.

La routine di invio della mail ignora gli indirizzi mail che contengono una di queste stringhe:

.gr
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@

Backdoor

Bagle.E installa una backdoor che ascolta sulla porta TCP 2745. E' inserita nel corpo del worm. La backdoor permette un controllo completo sulla macchina infetta. Può essere usata per scaricare ed eseguire programmi da internet.

Quando si avvia, il worm si connette ad una lista di siti web predefiniti e prova ad accedere ad un file PHP con determinati parametri. In questo modo l'autore ha la possibilità di controllare lo stato generale delle macchine infette.

Disabilitazione dei software di sicurezza

Il payload di Bagle.E inizia un pprocesso che termina i processi con i seguenti nomi:

ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE

Rilevazione

F-Secure Anti-Virus rileva Bagle.E con gli aggiornamenti pubblicati il 28 Febbraio 2004:

[FSAV_Database_Version]

Version=2004-02-28_04

Descrizione: Mikko Hypponen, 28 Febbraio 2004

Dettagli tecnici: Gergely Erdelyi 28 Febbraio 2004

F-Secure Corporation