W32/Bagle.ab@MM
Adatlap
- Felfedezés időpontja: 2004. 05. 06.
- Eredet: Ismeretlen
- Hossz: Változó
- Típus: Vírus
- Altípus: e-mail programféreg
- Szükséges adatbázis: 4359
- Szükséges keresőmotor: 4.2.40
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Otthoni felhasználók: Közepes
Tulajdonságok
A vírus a W32/Bagle.aa-tól csak kis mértékben tér el. Az új variáns a következő főbb tulajdonságokkal jellemezhető:
- UPX tömörített állomány
- Saját SMTP motorjával terjeszti magát
- A fertőzött számítógépről gyűjtött címekre küldi magát tovább
- A feladó címe hamisított
- Távoli hozzáférést biztosító komponenst tartalmaz (értesítést is küld a támadónak)
- A vírus jelszóvédett csatolt állományként érkezhet, a jelszó az üzenet törzsében található.
- Minden olyan könyvtárba bemásolja magát, amelyik a nevében a shar karakterláncot tartalmazza. (Ilyenek általában a P2P alkalmazások, pl. a KaZaa, Bearshare, Limewire, stb... is)
- Futtatásakor az alábbi félrevezető üzenetet írja ki: "Can't find a viewer associated with the file"
Terjedés e-mailen
Feladó: hamisított.
Tárgy:
- Re: Msg reply
- Re: Hello
- Re: Yahoo!
- Re: Thank you!
- Re: Thanks :)
- RE: Text message
- Re: Document
- Incoming message
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Notification
- Changes..
- New changes
- Hidden message
- Fax Message Received
- Protected message
- RE: Protected message
- Forum notify
- Site changes
- Re: Hi
- Encrypted document
Üzenettörzs:
- Változó tartalmú szöveg.
Csatolt állomány: A következők közül lehet:
- Information
- Details
- text_document
- Readme
- Document
- Info
- the_message
- Details
- MoreInfo
- Message
- You_will_answer_to_me
- Half_Live
- Counter_strike
- Loves_money
- the_message
- Alive_condom
- Joke
- Toy
- Nervous_illnesses
- Manufacture
- You_are_dismissed
- Your_complaint
- Your_money
- Smoke
- I_search_for_you
Kiterjesztések:
- Script dropper - a következő kiterjesztések valamelyikével.
- HTA
- VBS
- Jelszóvédett ZIP állomány
- Futtatható állomány a következő kiterjesztések valamelyikével:
- exe
- scr
- com
- cpl
- Futtatható dropper, CPL fájl .CPL kiterjesztéssel.
A vírus bemásolja magát a a Windows System könyvtárban drvdll.exe néven. Például:
- C:\WINNT\SYSTEM32\drvdll.exe
- C:\WINNT\SYSTEM32\drvdll.exeopen (másolat)
- C:\WINNT\SYSTEM32\drvdll.exeopenopen (másolat)
Egy CPLSTUB.EXE nevű állomány is bekerül %Windir% könyvtárba. Ez szintén a vírus másolata.
A következő Registry bejegyzések töltődnek be rendszerinduláskor:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "drvdll.exe" = C:\WINNT\SYSTEM32\drvdll.exeA vírus a következő, biztonsági szoftverekhez kapcsolódó folyamatok futását próbájla meggátolni:
- AGENTSVR.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- APVXDWIN.EXE
- ATCON.EXE
- ATGUARD.EXE
- ATRO55EN.EXE
- ATUPDATER.EXE
- ATWATCH.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVCONSOL.EXE
- AVGSERV9.EXE
- AVLTMAIN.EXE
- AVPUPD.EXE
- AVSYNMGR.EXE
- AVWUPD32.EXE
- AVXQUAR.EXE
- AVprotect9x.exe
- BD_PROFESSIONAL.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BS120.EXE
- CDP.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- DEFWATCH.EXE
- DEPUTY.EXE
- DPF.EXE
- DPFSETUP.EXE
- DRWATSON.EXE
- DRWEBUPW.EXE
- ENT.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- EXANTIVIRUS-CNET.EXE
- FAST.EXE
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- FP-WIN_TRIAL.EXE
- FRW.EXE
- FSAV.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- GBMENU.EXE
- GBPOLL.EXE
- GUARD.EXE
- GUARDDOG.EXE
- HACKTRACERSETUP.EXE
- HTLOG.EXE
- HWPE.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFW2000.EXE
- IPARMOR.EXE
- IRIS.EXE
- JAMMER.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KILLPROCESSSETUP161.EXE
- LDPRO.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LSETUP.EXE
- LUALL.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- MCAGENT.EXE
- MCUPDATE.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGUI.EXE
- MINILOG.EXE
- MOOLIVE.EXE
- MRFLUX.EXE
- MSCONFIG.EXE
- MSINFO32.EXE
- MSSMMC32.EXE
- MU0311AD.EXE
- NAV80TRY.EXE
- NAVAPW32.EXE
- NAVDX.EXE
- NAVSTUB.EXE
- NAVW32.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEOMONITOR.EXE
- NETARMOR.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NPROTECT.EXE
- NSCHED32.EXE
- NTVDM.EXE
- NUPGRADE.EXE
- NVARCH16.EXE
- NWINST4.EXE
- NWTOOL16.EXE
- OSTRONET.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PAVPROXY.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- PCCIOMON.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PF2.EXE
- PFWADMIN.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PROCEXPLORERV1.0.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAV8WIN32ENG.EXE
- REGEDIT.EXE
- REGEDT32.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- SAFEWEB.EXE
- SBSERV.EXE
- SD.EXE
- SETUPVAMEEVAL.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SFC.EXE
- SGSSFW32.EXE
- SH.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SMC.EXE
- SOFI.EXE
- SPF.EXE
- SPHINX.EXE
- SPYXX.EXE
- SS3EDIT.EXE
- ST2.EXE
- SUPFTRL.EXE
- SUPPORTER5.EXE
- SYMPROXYSVC.EXE
- SYSEDIT.EXE
- TASKMON.EXE
- TAUMON.EXE
- TAUSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS-3.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- UNDOBOOT.EXE
- UPDATE.EXE
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VFSETUP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXE
- VNPC3000.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCENU6.02D30.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBSCANX.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- WINRECON.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZAUINST.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
A vírus kinyitja a 2535-ös (TCP) portot a fertőzött számítógépen.
Tünetek
Nyitott 2535-ös (TCP) port A leírtaknak megfelelő kimenő üzenetek Az említett fájlok, registry bejegyzések előfordulása
A fertőzés meneteE-mailen keresztül
A vírus saját SMTP-rutinjával küldi a leveleket, amelyekhez a címlistát a számítógépen található, a listában szereplő kiterjesztésű fájlokból gyűjti össze.
- .wab
- .txt
- .msg
- .htm
- .shtm
- .stm
- .xml
- .dbx
- mbx
- .mdx
- .eml
- .nch
- .mmf
- .ods
- .cfg
- .asp
- .php
- .pl
- .wsh
- .adb
- .tbb
- .sht
- .xls
- .oft
- .uin
- .cgi
- .mht
- .dhtm
- .jsp
Terjedés fájlcserélő hálózatokon keresztül
A shar karakterláncot tartalmazó nevű könyvtárakba a következő neveken kerül a vírus:
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Microsoft Office XP working Crack, Keygen.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Porno Screensaver.scr
- Serials.txt.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
- Porno pics arhive, xxx.exe
- Windows Sourcecode update.doc.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
****************
Távvezérlő komponens
A vírus megkísérli értesíteni a vírus íróját arról hogy a fertőzött rendszer kész a távoli parancsok futtatására, a következő weboldalakon lévő PHP script meghívásával.
http://www.spiegel.de/5.php http://www.leipziger-messe.de/5.php http://www.mobile.de/5.php http://www.neformal.de/5.php http://www.avh.de/5.php http://www.goethe.de/5.php http://www.degruyter.de/5.php http://www.heise.de/5.php http://www.autoscout24.de/5.php http://www.russische-botschaft.de/5.php http://www.bmbf.de/5.php http://www.berlinale.de/5.php http://www.hamann-motorsport.de/5.php http://Spaceclub.de/5.php http://www.fracht-24.de/5.php http://www.loveparade.de/5.php http://www.dalnoboyshik.de/5.php http://www.deutschland.de/5.php http://www.ac-schnitzer.de/5.php http://abakan.strana.de/5.php http://www.emis.de/5.php http://www.dwd.de/5.php http://www.ifdesign.de/5.php http://www.beckers-systems.de/5.php http://www.pri-wo-hamburg.de/5.php http://virtualzone.de/5.php http://www.mitsumi.de/5.php http://www.fu-berlin.de/5.php http://www.nabu.de/5.php http://www.tekeli.de/5.php http://www.welt.de/5.php http://www.gospel-nations.de/5.php http://www.neznakomez.de/5.php http://www.tecchannel.de/5.php http://www.php-resource.de/5.php http://www.windac.de/5.php http://www.gsi.de/5.php http://www.turism.de/5.php http://jakimov.golos.de/5.php http://www.www.mirko-becker.gmxhome.de/5.php http://vg.xtonne.de/5.php http://www.go-amman.de/5.php http://3treepoint.com/5.php http://www.restarted-alliance.de/5.php http://2udar.ligakvn.de/5.php http://www.sprach-zertifikat.de/5.php http://www.dfg.de/5.php http://www.kliniken.de/5.php http://www.winfuture.de/5.php http://www.hamburg.de/5.php http://www.auma.de/5.php http://www.teac.de/5.php http://www.eumetsat.de/5.php http://www.documenta.de/5.php http://hardvision.ru/5.php http://www.bruecke-osteuropa.de/5.php http://www.mk-motorsport.de/5.php http://www.bundesregierung.de/5.php http://ditec.um.es/5.php http://www.insel-ruegen-hotel.de/5.php http://www.tib.uni-hannover.de/5.php http://www.chugai.de/5.php http://www.blauer-engel.de/5.php http://www.partner-inform.de/5.php http://250x.com/5.php http://villakinderbunt.de/5.php http://s318.evanzo-server.de/5.php http://andimeisslein.de/5.php http://tobimayer.de/5.php http://markusgimenez.de/5.php http://www.fiz-karlsruhe.de/5.php http://www.gdch.de/5.php http://www.intermatgmbh.de/5.php http://www.hotel-pension-spree.de/5.php http://vg.xtonne.de/5.php http://www.low-spirit.de/5.php http://www.red-dot.de/5.php http://www.fernuni-hagen.de/5.php http://www.ruletka.de/5.php http://www.deutsch-als-fremdsprache.de/5.php http://www.uni-oldenburg.de/5.php http://fotos.schneider.bards.de/5.php http://www.deutsches-museum.de/5.php http://www.de-bug.de/5.php http://www.uni-stuttgart.de/5.php http://www.embl-heidelberg.de/5.php http://www.mdz-moskau.de/5.php http://www.mitsubishi-evs.de/5.php http://www.siegenia-aubi.com/5.php http://www.cicv.fr/5.php http://www.paromi.de/5.php http://www.jura.uni-sb.de/5.php http://www.exactaudiocopy.de/5.php
Eltávolítási utasításokMinden felhasználónak:
A 4359-es adatbázisokkal és legalább 4.2.40-es keresőmotorral a vírus tisztítható.
Egyedi eltávolító segédprogram
A McAfee Stinger már képes a W32/Bagle.ab@MM felismerésére és tisztítására.
Manuális eltávolítási lépések
- A számítógép elindítása Védett Módban (Az F8 billentyű lenyomásával a rendszer indulásakor).
- A következő állományok törlése a Windows rendszerkönyvtárból. (Tipikusan ez a C:\Windows\System vagy a C:\Winnt\System32)
drvdll.exe
drvdll.exeopen
drvdll.exeopenopen
- A registry szerkesztése
- Törölje a "drvdll.exe" értéket a következő bejegyzésből:
- HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run- Indítsa újra a számítógépet.