Kezdolap  
 
   


W32/Bagle.b@MM

Adatlap

Felfedezés időpontja: 2004. 02. 17.
Eredet: Ismeretlen
Hossz: 11264 bájt (UPX-tömörített)
Típus: Vírus
Altípus: e-mail
Szükséges adatbázis: 4324
Szükséges keresőmotor: 4.2.40

Előfordulás valószínűsége

Vállalati környezet: Közepes
Otthoni felhasználók: Közepes

Tulajdonságok

A vírus tömeges levelezéssel terjed, a következő főbb tulajdonságokkal jellemezhető:

  • Saját SMTP-runtinnal közvetlenül küldi tovább magát
  • A fertőzött számítógépen található e-mail címekre terjed
  • A levelek feladóját hamisítja
  • Távoli hozzáférést biztosító moulja van, a fertőzésről értesítést küld a támadónak

A vírus sikeres észleléséhez a tömörített fájlok vizsgálata szükséges. Alapértelmezett telepítéskor ez az opció be van kapcsolva.

Elődjéhez hasonlóan ez a vírus is megvizsgálja a rendszerórát, és 2004. február 25.-e után a féreg nem aktivizálódik.

Amennyiben a dátum ennél korábbi, a programféreg elindítja a Windows Hangrögzítő alkalmazást, miközben bemásolja magát AU.EXE néven a Windows System32 könyvtárába, például:

  • C:\WinNT\System32\AU.EXE

A rendszerindítást a következő registry kulcs módosításával észlelve tölti be magát minden alkalommal:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "au.exe" = C:\WINNT\SYSTEM32\AU.EXE

Ezek mellett két további bejegyzés is készül:

  • HKEY_CURRENT_USER\Software\Windows2000 "frn"
  • HKEY_CURRENT_USER\Software\Windows2000 "gid"

Tünetek

  • Nyitott 8866-os TCP port
  • Az ismertetett fájlok/registry bejegyzések előfordulása
  • Az alább leírtaknak megfelelő kimenő üzenetek

A fertőzés menete

Terjedés levélben

A vírus saját SMTP-rutinjával küldi a leveleket, amelyekhez a címlistát a számítógépen található .WAB, .TXT, .HTM és .HTML kiterjesztésű fájlokból gyűjti össze. A feladó hamis címét szintén a listában szereplő e-mail címekből választja ki véletlenszerűen.

Az üzenetek a következő módon nézhetnek ki:

From / feladó: (hamisított a feladó email címe)
Subject / tárgy: ID (karaktersorozat)... thanks
Body / levéltörzs: 
Yours ID (karaktersorozat)
--
Thank

Attachment / csatolt állomány: (változó nevű bináris állomány) (11,264 byte)

A vírus nem küldi magát a következő karaktersorozatot tartalmazó címekre:

  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp

Távoli hozzáférést biztosító komponens

A vírus kinyitja a 6688-as TCP portot, távoli hozzáférést biztosítva a számítógéphez. A vírus szerzőjének HTTP segítségével értesítést küld távoli szervereken elhelyezkedő PHP szkriptek meghívásával, ezért javasolt a következő oldalak tiltása:

  • http://www.47df.de
  • http://www.strato.de
  • http://intern.games-ring.de

Eltávolítási utasítások

Minden felhasználónak:

A 2004. 02. 17-én megjelent 4234-es adatbázisokkal és legalább 4.2.40-es keresőmotorral a vírus tisztítható.

Egyéb elnevezések

  • I-Worm.Bagle.b (AVP)
  • W32.Aula@mm (NAV)
  • W32/Tanx.A-mm
  • W32/Yourid.A.worm (Panda)
  • Win32.HLLM.Strato.16896 (Dialogue Science)
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.