Kezdolap  
 
   


W32/Bagle.c@MM

Adatlap

Felfedezés időpontja: 2004. 02. 27.
Eredet: Ismeretlen
Hossz: Változó
Típus: Vírus
Altípus: e-mail programféreg
Szükséges adatbázis: 4329
Szükséges keresőmotor: 4.2.40

Előfordulás valószínűsége

Vállalati környezet: Közepes
Otthoni felhasználók: Közepes

Tulajdonságok

A vírus tömeges levelezéssel terjed, a következő főbb tulajdonságokkal jellemezhető:

  • Saját SMTP-rutinnal közvetlenül küldi tovább magát
  • A fertőzött számítógépen található e-mail címekre terjed
  • A levelek feladóját hamisítja
  • Távoli hozzáférést biztosító modulja van, a fertőzésről értesítést küld a támadónak

A vírusos üzenetek felépítése a következő:

Feladó: hamisított

Tárgy: a következők valamelyike:

  • Accounts department Ahtung!
  • Camila
  • Daily activity report
  • Flayers among us
  • Freedom for everyone
  • From Hair-cutter
  • From me
  • Greet the day
  • Hardware devices price-list
  • Hello my friend
  • Hi!
  • Jenny
  • Jessica
  • Looking for the report
  • Maria
  • Melissa
  • Monthly incomings summary
  • New Price-list
  • Price
  • Price list
  • Pricelist
  • Price-list
  • Proclivity to servitude
  • Registration confirmation
  • The account
  • The employee
  • The summary
  • USA government abolishes the capital punishment
  • Weekly activity report
  • Well...
  • You are dismissed
  • You really love me? he he

Üzenettörzs: üres

Melléklet: véletlenszerűen elnevezett .zip fájlban található bináris állomány, mérete változó, 16 kB körüli.

A tömörített állományban lévő bináris fájl a Microsoft Excel ikonját használja megtévesztésül. A fájl futtatásakor a jegyzettömb alkalmazás jelenik meg, üres szövegmezővel.

Elődjeihez hasonlóan a vírus ellenőrzi a rendszerórát, és 2004. március 14.-e után nem terjed tovább.

A programféreg elindításakor bemásolja magát README.EXE néven a Windows System32 könyvtárába:

  • C:\WinNT\System32\README.EXE

Ezen kívül további fájlok kerülnek a merevlemezre a következő funkciókkal:

  • onde.exe (18,944 bájt) - DLL levelezéshez
  • doc.exe (1,536 bájl) - DLL betöltő
  • readme.exeopen (kb. 16 kb) - e-mailen keresztül küldendő ZIP

A következő registry kucls biztosítja a programféreg betöltődését a rendszer elindulásakor:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run "gouday.exe" = C:\WINNT\SYSTEM32\README.EXE

Ezen kívül a következő registry kulcsok jelennek meg:

  • HKEY_CURRENT_USER\Software\DateTime2 "frun"
  • HKEY_CURRENT_USER\Software\DateTime2 "uid"
  • HKEY_CURRENT_USER\Software\DateTime2 "port"

Egy "imain_mutex" nevű mutex biztosítja, hogy egy gépen egyszerre csak egy programféreg fut.

A programféreg a következő, biztonsági szoftverekhez kapcsolódó folyamatok leállítását kezdeményezi:

  • ATUPDATER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

Tünetek

  • Nyitott 2745-ös TCP port
  • Az ismertetett fájlok/registry bejegyzések előfordulása
  • Az alább leírtaknak megfelelő kimenő üzenetek

A fertőzés menete

Terjedés levélben

A vírus saját SMTP-rutinjával küldi a leveleket, amelyekhez a címlistát a számítógépen található .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT , .TXT és.WAB kiterjesztésű fájlokból gyűjti össze.

A vírus nem küldi magát a következő karaktersorozatot tartalmazó címekre:

  • @avp.
  • @hotmail.com
  • @microsoft
  • @msn.com
  • local
  • noreply
  • postmaster@ 
  • root@

Távoli hozzáférést biztosító komponens

A vírus kinyitja a 2745-ös TCP portot, távoli hozzáférést biztosítva a számítógéphez. A vírus szerzőjének HTTP segítségével értesítést küld távoli szervereken elhelyezkedő PHP szkriptek meghívásával. A leírás időpontjában ezek szkriptek nincsenek fenn ezeken az oldalakon. A következő oldalak tiltása ettől még javasolható

  • htp://permail.uni-muenster.de/scr.php
  • http://www.songtext.net/de/scr.php
  • http://www.sportscheck.de/scr.php

A távoli hozzáférétst biztosító komponens március 14.-én szintén befejezi a működést.

Eltávolítási utasítások

Minden felhasználónak:

A 2004. 02. 27-én megjelent 4329-es adatbázisokkal és legalább 4.2.40-es keresőmotorral a vírus tisztítható.

Egyedi eltávolító segédprogram

A McAfee Stinger már képes a W32/Bagle.c@MM felismerésére és tisztítására is.

ThreatScan felhasználóknak

A ThreatScan segítségével a fertőzött számítógépek egyszerűen behatárolhatók egy Resource Discovery Task futtatásával:

- Válassza a TCP Port scan opciót
- Adja meg a 2745-ös portot

McAfee IntruShield felhasználóknak

Az újonnan kiadott szignatúrák használatával az IntruShield észleli a programférget. A következő szignatúrára javasolt a tiltás (blocking) bekapcsolása:

UDS-SMTP: Worm Bagle.C Detected

Egyéb elnevezések

  • Bagle.C (F-Secure)
  • W32.Beagle.C@mm (Symantec)
  • W32/Bagle-C (Sophos)
  • Win32.Bagle.C (CA)
  • WORM_BAGLE.C (Trend)
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.