W32/Bagle.az@MM





	W32/Bagle.az@MM Adatlap Felfedezés idopontja: 2004. 09. 28. Eredet: Ismeretlen Hossz: Változó Típus: Vírus Altípus: e-mail Szükséges adatbázis: 4395 Szükséges keresomotor: 4.3.20 Elofordulás valószínusége Vállalati környezet: Közepes Otthoni felhasználók: Közepes Tulajdonságok Ez a variáns az alábbi tulajdonságokkal jellemezheto: Saját SMTP motorjával terjeszti magát A fertozött számítógéprol gyujtött címekre továbbítja magát A feladó címét hamisítja Távoli hozzáférést biztosító komponenst tartalmaz (értesítést is küld a támadónak) Minden olyan könyvtárba bemásolja magát, amelyik a nevében a shar karakterláncot tartalmazza. (Ilyenek általában a P2P alkalmazások, pl. a KaZaa, Bearshare, Limewire, stb... is) Terjedés e-mailen A vírusos levelek jellemzoi: Feladó: hamisított Tárgy: Re: Re: Hello Re: Thanks :) Re: Thank you Re: Hi Csatolt állomány: A fájnév a következok valamelyike, .EXE, .SCR, .COM, .CPL kiterjesztéssel Price price Joke Üzenettörzs: :) :)) Installáció A programféreg bemásolja magát a Windows System könyvtárba BAWINDO.EXE fájlnéven. Például: C:\WINNT\SYSTEM32\bawindo.exe Ezen felül elhelyezi saját másolatait (különbözo hozzáfuzött "szeméttel"), ugyanabban a könyvtárban: bawindo.exeopen bawindo.exeopenopen A következo registry kulcs hatására a progarmféreg minden rendszerindításkor betöltodik: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "bawindo" = "C:\WINNT\System32\bawindo.exe" Egy mutex biztosítja, hogy egyszerre csak egy példányban fusson a programféreg. Az alábbi mutex nevek valamelyike igyekszik a W32/Netsky különbözo variánsainak futását megakadályozni: 'D'r'o'p'p'e'd'S'k'y'N'e't' _-oOaxX\|-+S+-+k+-+y+-+N+-+e+-+t+-\|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX\|-S-k-y-N-e-t-\|Xx[Oo-_ Ez a programféreg a 81-es TCP és egy véletlenszeru UDP portot nyit meg a fertozött gépeken. Tünetek Nyitott 81-es TCP port A leírtaknak megfelelo kimeno üzenetek Az említett fájlok, registry bejegyzések elofordulása A fertozés menete E-mailen keresztül A vírus saját SMTP-rutinjával küldi a leveleket, amelyekhez a címlistát a számítógépen található, a listában szereplo kiterjesztésu fájlokból gyujti össze. .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm .jsp A levelek hamisított feladója a begyujtött e-mail címek egyike. A vírus nem küldi magát a következo karaktersorozatot tartalmazó címekre: @hotmail @msn @microsoft rating@ f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux listserv certific sopho @foo @iana free-av @messagelab winzip google winrar samples abuse panda cafee spam pgp @avp. noreply local root@ postmaster@ Terjedés fájlcserélo hálózatokon keresztül A shar karakterláncot tartalmazó könyvtárakba többféle néven is kerül a vírus: Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe Folyamatok leállítása A következo listában eloforduló, egyéb programférgek és biztonsági szoftverekhez kapcsolódó folyamatokat a programféreg leállítja: alogserv.exe APVXDWIN.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE Avconsol.exe AVENGINE.EXE AVPUPD.EXE Avsynmgr.exe AVWUPD32.EXE AVXQUAR.EXE blackd.exe ccApp.exe ccEvtMgr.exe ccProxy.exe ccPxySvc.exe CFIAUDIT.EXE DefWatch.exe DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE FIREWALL.EXE FrameworkService.exe ICSSUPPNT.EXE ICSUPP95.EXE LUALL.EXE LUCOMS~1.EXE mcagent.exe mcshield.exe MCUPDATE.EXE mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapw32.exe NISUM.EXE nopdb.exe NPROTECT.EXE NUPGRADE.EXE OUTPOST.EXE PavFires.exe pavProxy.exe pavsrv50.exe Rtvscan.exe RuLaunch.exe SAVScan.exe SHSTAT.EXE SNDSrvc.exe symlcsvc.exe UPDATE.EXE UpdaterUI.exe Vshwin32.exe VsStat.exe VsTskMgr.exe Letöltés A vírus website-ok listáját tartalmazza, ahonnan megpróbálja letölteni a WS.JPG fájlt. A leírás készítésének idopontjában ez a fájl az oldalakon nem található meg. www.24-7-transportation.com www.adhdtests.com www.aegee.org www.aimcenter.net www.alupass.lu www.amanit.ru www.andara.com www.angelartsanctuary.com www.anthonyflanagan.com www.approved1stmortgage.com www.argontech.net www.asianfestival.nl www.atlantisteste.hpg.com.br www.aviation-center.de www.bbsh.org www.bga-gsm.ru www.boneheadmusic.com www.bottombouncer.com www.bradster.com www.buddyboymusic.com www.bueroservice-it.de www.calderwoodinn.com www.capri-frames.de www.celula.com.mx www.ceskyhosting.cz www.chinasenfa.com www.cntv.info www.compsolutionstore.com www.coolfreepages.com www.corpsite.com www.couponcapital.net www.cpc.adv.br www.crystalrose.ca www.cscliberec.cz www.curtmarsh.com www.customloyal.com www.DarrkSydebaby.com www.deadrobot.com www.dontbeaweekendparent.com www.dragcar.com www.ecofotos.com.br www.elenalazar.com www.ellarouge.com.au www.esperanzaparalafamilia.com www.eurostavba.sk www.everett.wednet.edu www.fcpages.com www.featech.com www.fepese.ufsc.br www.firstnightoceancounty.org www.flashcorp.com www.fleigutaetscher.ch www.fludir.is www.freeservers.com www.FritoPie.NET www.gamp.pl www.gci-bln.de www.gcnet.ru www.generationnow.net www.gfn.org www.giantrevenue.com www.glass.la www.handsforhealth.com www.hartacorporation.com www.himpsi.org www.idb-group.net www.immonaut.sk www.ims-i.com www.innnewport.com www.irakli.org www.irinaswelt.de www.jansenboiler.com www.jasnet.pl www.jhaforpresident.7p.com www.jimvann.com www.jldr.ca www.justrepublicans.com www.kencorbett.com www.knicks.nl www.kps4parents.com www.kradtraining.de www.kranenberg.de www.lasermach.com www.leonhendrix.com www.magicbottle.com.tw www.mass-i.kiev.ua www.mepbisu.de www.mepmh.de www.metal.pl www.mexis.com www.mongolische-renner.de www.mtfdesign.com www.oboe-online.com www.ohiolimo.com www.onepositiveplace.org www.oohlala-kirkland.com www.orari.net www.pankration.com www.pe-sh.com www.pfadfinder-leobersdorf.com www.pipni.cz www.polizeimotorrad.de www.programmierung2000.de www.pyrlandia-boogie.pl www.raecoinc.com www.realgps.com www.redlightpictures.com www.reliance-yachts.com www.relocationflorida.com www.rentalstation.com www.rieraquadros.com.br www.scanex-medical.fi www.sea.bz.it www.selu.edu www.sigi.lu www.sljinc.com www.smacgreetings.com www.soloconsulting.com www.spadochron.pl www.srg-neuburg.de www.ssmifc.ca www.sugardas.lt www.sunassetholdings.com www.szantomierz.art.pl www.the-fabulous-lions.de www.tivogoddess.com www.tkd2xcell.com www.topko.sk www.transportation.gov.bh www.travelchronic.de www.traverse.com www.uhcc.com www.ulpiano.org www.uslungiarue.it www.vandermost.de www.vbw.info www.velezcourtesymanagement.com www.velocityprint.com www.vikingpc.pl www.vinirforge.com www.wecompete.com www.worest.com.ar www.woundedshepherds.com www.wwwebad.com www.wwwebmaster.com Registry bejegyzések eltávolítása Az alábbi indító kulcsokból... HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ... a következo bejegyzéseket törli a programféreg: "My AV" "Zone Labs Client Ex" "9XHtProtect" "Antivirus" "Special Firewall Service" "service" "Tiny AV" "ICQNet" "HtProtect" "NetDy" "Jammer2nd" "FirewallSvr" "MsInfo" "SysMonXP" "EasyAV" "PandaAVEngine" "Norton Antivirus AV" "KasperskyAVEng" "SkynetsRevenge" "ICQ Net" Backdoor komponens A vírus kinyitja a fertozött számítógép 81-es TCP, és egy véletlenszeru UDP portját. Eltávolítási utasítások Minden felhasználónak: A 4395-ös adatbázisokkal és legalább 4.3.20-as keresomotorral a vírus tisztítható. Stinger A McAfee Stinger víruseltávolító segéprogram képes a W32/Bagle.az eltávolítására.
	A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.