W32/Bagle.bj@MM
Adatlap
- Felfedezés időpontja: 2005.01.26.
- Eredet: Ismeretlen
- Hossz: 18,690+ bájt
- Típus: Vírus
- Altípus: e-mail programféreg
- Szükséges adatbázis: 4423
- Szükséges keresőmotor: 4.3.20
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Otthoni felhasználók: Közepes
Tulajdonságok
Saját SMTP motorral rendelkező, tömeges levelezéssel terjedő programféreg, mely a feladót hamisítja, a címeket a fertőzött számítógépről gyűjti. Táv-elérési modult is tartalmaz, mely e-mailt is küld a hackernek a megtámadott rendszerről. A share stringet tartalmazó nevű megosztásokba (pl.: P2P, Kazaa, Bearshare, Limewire könyvtáraiba) másolja önmagát.
A következő felépítésű e-mail üzenetekben érkezik:
Feladó: általában hamisított
Tárgy: Delivery service mail, Delivery by mail, Registration is accepted, Is delivered mail, You are made active
Üzenettörzs: Thanks for use of our software, Before use read the help
Melléklet: Az alábbiak egyike: wsd01 viupd02 siupd02 guupd02 zupd02 upd02 Jol03
Kiterjesztés: .exe, .scr, .com, or .cpl)
A vírus sysformat.exe néven a rendszerkönyvtárba másolja önmagát, pl: C:\WINNT\SYSTEM32\sysformat.exe
Emellett az alábbi könyvtárakban is elhelyez modulokat:
- C:\WINNT\SYSTEM32\sysformat.exeopen
- C:\WINNT\SYSTEM32\sysformat.exeopenopen
Módosítja a registry-t, hogy indításkor a memóriába töltődjön:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sysformat" = C:\WINNT\SYSTEM32\sysformat.exe
További új kulcsot is létrehoz:
HKEY_CURRENT_USER\Software\Microsoft\Params "TimeKey"
Törli a "My AV" és "ICQ Net" a Registryből, ha léteznek az alábbi kulcsok:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
A mutex gondoskodik arról, hogy a vírusnak csak egy pédánya fusson. Az alábbi mutex neveket használja a W32/Netsky variánsok leállítására:
- MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
A vírus leállítja az alábbi folyamatokat:
- mcagent.exe
- mcvsshld.exe
- mcshield.exe
- mcvsescn.exe
- mcvsrte.exe
- DefWatch.exe
- Rtvscan.exe
- ccEvtMgr.exe
- NISUM.EXE
- ccPxySvc.exe
- navapsvc.exe
- NPROTECT.EXE
- nopdb.exe
- ccApp.exe
- Avsynmgr.exe
- VsStat.exe
- Vshwin32.exe
- alogserv.exe
- RuLaunch.exe
- Avconsol.exe
- PavFires.exe
- FIREWALL.EXE
- ATUPDATER.EXE
- LUALL.EXE
- DRWEBUPW.EXE
- AUTODOWN.EXE
- NUPGRADE.EXE
- OUTPOST.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- ESCANH95.EXE
- AVXQUAR.EXE
- ESCANHNT.EXE
- ATUPDATER.EXE
- AUPDATE.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVXQUAR.EXE
- AVWUPD32.EXE
- AVPUPD.EXE
- CFIAUDIT.EXE
- UPDATE.EXE
- NUPGRADE.EXE
- MCUPDATE.EXE
- pavsrv50.exe
- AVENGINE.EXE
- APVXDWIN.EXE
- pavProxy.exe
- navapw32.exe
- navapsvc.exe
- ccProxy.exe
- navapsvc.exe
- NPROTECT.EXE
- SAVScan.exe
- SNDSrvc.exe
- symlcsvc.exe
- LUCOMS~1.EXE
- blackd.exe
- bawindo.exe
- FrameworkService.exe
- VsTskMgr.exe
- SHSTAT.EXE
- UpdaterUI.exe
A vírus a 2339 (TCP) portszámmal kezdődően véletlenszerű portokat nyit meg a fertőzött gépeken.
Tünetek
- Szokatlan portok megnyitása a fertőzött gépen
- Üzenet küldése a fentiek szerint
- File/Registry kulcsok készítése
A fertőzés menete
E-mailen keresztül
A vírus saját SMTP motorjával üzeneteket készít, amelyeket az alábbi kiterjesztésű fájlokból gyűjt:
.wab, .txt , .msg , .htm , .shtm , .stm , .xml , .dbx , .mbx , .mdx , .eml , .nch , .mmf , .ods , .cfg , .asp, .php, .pl , .wsh , .adb , .tbb , .sht , .xls , .oft , .uin , .cgi , .mht , .dhtm , .jsp
Hamisítja a feladót, és nem küldi el önmagát az alábbi szövegrészeket tartalmazó címekre:
- @microsoft
- rating@
- f-secur
- news
- update
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- winrar
- samples
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster@
Terjedés fájlcserélő hálózatokon keresztül
A shar sztringet tartalmazó könyvtárban az alábbi fájlneveket hozza létre:
- 1.exe
- 2.exe
- 3.exe
- 4.exe
- 5.scr
- 6.exe
- 7.exe
- 8.exe
- 9.exe
- 10.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
Táv-elérési komponens
A vírus kinyitja a 2339-es fölötti, véletlenszerűen választott TCP portot, és értesíti a vírus készítőjét, hogy a fertőzött gép távoli parancs végrehajtására kész. Kapcsolatba lép különböző web-oldalakkal, ahonan az error.jpg fájlt hívja meg:
- http://www.pyrlandia-boogie.pl
- http://www.kps4parents.com
- http://www.pipni.cz
- http://www.selu.edu
- http://www.travelchronic.de
- http://www.fleigutaetscher.ch
- http://www.irakli.org
- http://www.oboe-online.com
- http://www.pe-sh.com
- http://www.idb-group.net
- http://www.ceskyhosting.cz
- http://www.hartacorporation.com
- http://www.glass.la
- http://www.24-7-transportation.com
- http://www.fepese.ufsc.br
- http://www.ellarouge.com.au
- http://www.bbsh.org
- http://www.boneheadmusic.com
- http://www.sljinc.com
- http://www.tivogoddess.com
- http://www.fcpages.com
- http://www.szantomierz.art.pl
- http://www.elenalazar.com
- http://www.generationnow.net
- http://www.flashcorp.com
- http://www.kencorbett.com
- http://www.FritoPie.NET
- http://www.leonhendrix.com
- http://www.transportation.gov.bh
- http://www.jhaforpresident.7p.com
- http://www.DarrkSydebaby.com
- http://www.cntv.info
- http://www.sugardas.lt
- http://www.adhdtests.com
- http://www.argontech.net
- http://www.customloyal.com
- http://www.ohiolimo.com
- http://www.topko.sk
- http://www.ssmifc.ca
- http://www.reliance-yachts.com
- http://www.worest.com.ar
- http://www.kps4parents.com
- http://www.coolfreepages.com
- http://www.scanex-medical.fi
- http://www.jimvann.com
- http://www.orari.net
- http://www.himpsi.org
- http://www.mtfdesign.com
- http://www.jldr.ca
- http://www.relocationflorida.com
- http://www.rentalstation.com
- http://www.approved1stmortgage.com
- http://www.velezcourtesymanagement.com
- http://www.sunassetholdings.com
- http://www.compsolutionstore.com
- http://www.uhcc.com
- http://www.justrepublicans.com
- http://www.pfadfinder-leobersdorf.com
- http://www.featech.com
- http://www.vinirforge.com
- http://www.magicbottle.com.tw
- http://www.giantrevenue.com
- http://www.couponcapital.net
- http://www.crystalrose.ca
- http://www.bottombouncer.com
- http://www.anthonyflanagan.com
- http://www.bradster.com
- http://www.traverse.com
- http://www.ims-i.com
- http://www.realgps.com
- http://www.aviation-center.de
- http://www.gci-bln.de
- http://www.pankration.com
- http://www.jansenboiler.com
- http://www.corpsite.com
- http://www.everett.wednet.edu
- http://www.onepositiveplace.org
- http://www.raecoinc.com
- http://www.wwwebad.com
- http://www.corpsite.com
- http://www.wwwebmaster.com
- http://www.wwwebad.com
- http://www.dragcar.com
- http://www.wwwebad.com
- http://www.oohlala-kirkland.com
- http://www.calderwoodinn.com
- http://www.buddyboymusic.com
- http://www.smacgreetings.com
- http://www.tkd2xcell.com
- http://www.curtmarsh.com
- http://www.dontbeaweekendparent.com
- http://www.soloconsulting.com
- http://www.lasermach.com
- http://www.alupass.lu
- http://www.sigi.lu
- http://www.redlightpictures.com
- http://www.irinaswelt.de
- http://www.bueroservice-it.de
- http://www.kranenberg.de
- http://www.the-fabulous-lions.de
- http://www.mongolische-renner.de
- http://www.capri-frames.de
- http://www.aimcenter.net
- http://www.boneheadmusic.com
- http://www.fludir.is
- http://www.sljinc.com
- http://www.tivogoddess.com
- http://www.fcpages.com
- http://www.andara.com
- http://www.freeservers.com
- http://www.programmierung2000.de
- http://www.asianfestival.nl
- http://www.aviation-center.de
- http://www.gci-bln.de
- http://www.mass-i.kiev.ua
- http://www.jasnet.pl
- http://www.atlantisteste.hpg.com.br
- http://www.fludir.is
- http://www.rieraquadros.com.br
- http://www.metal.pl
- http://www.handsforhealth.com
- http://www.angelartsanctuary.com
- http://www.firstnightoceancounty.org
- http://www.chinasenfa.com
- http://www.ulpiano.org
- http://www.gamp.pl
- http://www.vikingpc.pl
- http://www.woundedshepherds.com
- http://www.cpc.adv.br
- http://www.velocityprint.com
- http://www.esperanzaparalafamilia.com
- http://www.celula.com.mx
- http://www.mexis.com
- http://www.wecompete.com
- http://www.vbw.info
- http://www.gfn.org
- http://www.aegee.org
- http://www.deadrobot.com
- http://www.cscliberec.cz
- http://www.ecofotos.com.br
- http://www.amanit.ru
- http://www.bga-gsm.ru
- http://www.innnewport.com
- http://www.knicks.nl
- http://www.srg-neuburg.de
- http://www.mepmh.de
- http://www.mepbisu.de
- http://www.kradtraining.de
- http://www.polizeimotorrad.de
- http://www.sea.bz.it
- http://www.uslungiarue.it
- http://www.gcnet.ru
- http://www.aimcenter.net
- http://www.vandermost.de
- http://www.szantomierz.art.pl
- http://www.immonaut.sk
- http://www.eurostavba.sk
- http://www.spadochron.pl
Eltávolítási utasítások
Minden felhasználónak:
A 4423-as adatbázisokkal és legalább 4.3.20-as keresőmotorral a vírus tisztítható.ű
Egyedi eltávolító program: Stinger 2.4.8 letöltése.
Manuális eltávolítási lépések
- Indítsa el a számítógépet csökkentett módban.
- Törölje az alábbi fájlokat a WINDOWS rendszerkönyvtárból (többnyire C:\Windows\System or C:\Winnt\System32)
sysformat.exe
sysformat.exeopen
sysformat.exeopenopen
- Törölje a "Sysformat" értéket a HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run kulcsból
- Indítsa újra a számítógépet normál módban.