W32/Bagle.z@MM
Adatlap
- Felfedezés időpontja: 2004. 04. 26.
- Eredet: Ismeretlen
- Hossz: Változó.
- Típus: Vírus
- Altípus: e-mail programféreg
- Szükséges adatbázis: 4353
- Szükséges keresőmotor: 4.2.40
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Otthoni felhasználók: Közepes
Tulajdonságok
Ez a variáns a következő főbb tulajdonságokkal jellemezhető:
Terjedés e-mailen
- Saját SMTP motorjával terjeszti magát
- A fertőzött számítógépről gyűjtött címekre küldi magát tovább
- A feladó címe hamisított
- Távoli hozzáférést biztosító komponenst tartalmaz (értesítést is küld a támadónak)
- A vírus jelszóvédett csatolt állományként érkezik, a jelszó az üzenet törzsében található.
- Minden olyan könyvtárba bemásolja magát, amelyik a nevében a shar karakterláncot tartalmazza. (Ilyenek általában a P2P alkalmazások, pl. a KaZaa, Bearshare, Limewire, stb... is)
- Titkosított polimorf fájl-fertőző vírus
Az üzenetek felépítése nagyban hasonlít a korábbi variánsokhoz. A vírusos üzenet megpróbálja valódi figyelmeztető üzenetnek kiadni magát.
Feladó: hamisított. Mail-domainként a címzett domain-jét, vagy a feladó gépén talált teljes címet használja, a cím a következő előtagokkal rendelkezhet:
lizie@ annie@ ann@ christina@ secretGurl@ jessie@ christy@ Tárgy:
Üzenettörzs: Hello! Hey! Let's socialize, my friend! Let's talk, my friend! I'm bored with this life Notify from a known person ;-) I like you I just need a friend I'm a sad girl... Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! Re: Thanks :) RE: Text message Re: Document Incoming message Re: Incoming Message Re: Incoming Fax Hidden message Fax Message Received Protected message RE: Protected message Forum notify Request response Site changes Re: Hi Encrypted document
Változó tartalmú szöveg.
Csatolt állomány: A következők közül lehet:
- Script dropper - a következő kiterjesztések valamelyikével.
- HTA
- VBS
- Jelszóvédett ZIP állomány
- Futtatható állomány a következő kiterjesztések valamelyikével:
- exe
- scr
- com
- cpl
- Futtatható dropper, CPL fájl .CPL kiterjesztéssel.
A vírus bemásolja magáta a Windows System könyvtárban drvsys.exe néven. Például:
- C:\WINNT\SYSTEM32\drvsys.exe
- C:\WINNT\SYSTEM32\drvsys.exeopen (Copy of the worm)
- C:\WINNT\SYSTEM32\drvsys.exeopenopen (Copy of the worm)
A következő Registry bejegyzések töltődnek be rendszerinduláskor:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "drvsys.exe" = C:\WINNT\SYSTEM32\drvsys.exeA vírus a következő, biztonsági szoftverekhez kapcsolódó folyamatok futását próbájla meggátolni:
- AGENTSVR.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- APVXDWIN.EXE
- ATCON.EXE
- ATGUARD.EXE
- ATRO55EN.EXE
- ATUPDATER.EXE
- ATWATCH.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVCONSOL.EXE
- AVGSERV9.EXE
- AVLTMAIN.EXE
- AVPUPD.EXE
- AVSYNMGR.EXE
- AVWUPD32.EXE
- AVXQUAR.EXE
- AVprotect9x.exe
- BD_PROFESSIONAL.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BS120.EXE
- CDP.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- DEFWATCH.EXE
- DEPUTY.EXE
- DPF.EXE
- DPFSETUP.EXE
- DRWATSON.EXE
- DRWEBUPW.EXE
- ENT.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- EXANTIVIRUS-CNET.EXE
- FAST.EXE
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- FP-WIN_TRIAL.EXE
- FRW.EXE
- FSAV.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- GBMENU.EXE
- GBPOLL.EXE
- GUARD.EXE
- GUARDDOG.EXE
- HACKTRACERSETUP.EXE
- HTLOG.EXE
- HWPE.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFW2000.EXE
- IPARMOR.EXE
- IRIS.EXE
- JAMMER.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KILLPROCESSSETUP161.EXE
- LDPRO.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LSETUP.EXE
- LUALL.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- MCAGENT.EXE
- MCUPDATE.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGUI.EXE
- MINILOG.EXE
- MOOLIVE.EXE
- MRFLUX.EXE
- MSCONFIG.EXE
- MSINFO32.EXE
- MSSMMC32.EXE
- MU0311AD.EXE
- NAV80TRY.EXE
- NAVAPW32.EXE
- NAVDX.EXE
- NAVSTUB.EXE
- NAVW32.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEOMONITOR.EXE
- NETARMOR.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NPROTECT.EXE
- NSCHED32.EXE
- NTVDM.EXE
- NUPGRADE.EXE
- NVARCH16.EXE
- NWINST4.EXE
- NWTOOL16.EXE
- OSTRONET.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PAVPROXY.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- PCCIOMON.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PF2.EXE
- PFWADMIN.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PROCEXPLORERV1.0.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAV8WIN32ENG.EXE
- REGEDIT.EXE
- REGEDT32.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- SAFEWEB.EXE
- SBSERV.EXE
- SD.EXE
- SETUPVAMEEVAL.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SFC.EXE
- SGSSFW32.EXE
- SH.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SMC.EXE
- SOFI.EXE
- SPF.EXE
- SPHINX.EXE
- SPYXX.EXE
- SS3EDIT.EXE
- ST2.EXE
- SUPFTRL.EXE
- SUPPORTER5.EXE
- SYMPROXYSVC.EXE
- SYSEDIT.EXE
- TASKMON.EXE
- TAUMON.EXE
- TAUSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS-3.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- UNDOBOOT.EXE
- UPDATE.EXE
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VFSETUP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXE
- VNPC3000.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCENU6.02D30.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBSCANX.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- WINRECON.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZAUINST.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
A vírus kinyitja a 2535-ös (TCP) portot a fertőzött számítógépen.
TünetekNyitott 2535-ös (TCP) port A leírtaknak megfelelő kimenő üzenetek Az említett fájlok, registry bejegyzések előfordulása
A fertőzés meneteE-mailen keresztül
A vírus saját SMTP-rutinjával küldi a leveleket, amelyekhez a címlistát a számítógépen található, a listában szereplő kiterjesztésű fájlokból gyűjti össze.
A vírus nem küldi magát a következő karaktersorozatot tartalmazó címekre:
- .adb
- .asp
- .cfg
- .cgi
- .dbx
- .dhtm
- .eml
- .htm
- .jsp
- .mbx
- .mdx
- .mht
- .mmf
- .msg
- .nch
- .ods
- .oft
- .php
- .pl
- .sht
- .stm
- .tbb
- .shtm
- .txt
- .uin
- .wab
- .wsh
- .xls
- .xml
- @hotmail
- @msn
- @microsoft
- rating@
- f-secur
- news
- update
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- winrar
- samples
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster@
Terjedés fájlcserélő hálózatokon keresztül
A shar karakterláncot tartalmazó nevű könyvtárakba a következő neveken kerül a vírus:
Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe
Távolielérésű komponens
A vírus megkísérli értesíteni a vírus íróját arról hogy a fertőzött rendszer kész a távoli parancsok futtatására, a következő weboldalakon lévő PHP script meghívásával.
- http://www.spiegel.de/5.php
- http://www.leipziger-messe.de/5.php
- http://www.mobile.de/5.php
- http://www.neformal.de/5.php
- http://www.avh.de/5.php
- http://www.goethe.de/5.php
- http://www.degruyter.de/5.php
- http://www.heise.de/5.php
- http://www.autoscout24.de/5.php
- http://www.russische-botschaft.de/5.php
- http://www.bmbf.de/5.php
- http://www.berlinale.de/5.php
- http://www.hamann-motorsport.de/5.php
- http://Spaceclub.de/5.php
- http://www.fracht-24.de/5.php
- http://www.loveparade.de/5.php
- http://www.dalnoboyshik.de/5.php
- http://www.deutschland.de/5.php
- http://www.ac-schnitzer.de/5.php
- http://abakan.strana.de/5.php
- http://www.emis.de/5.php
- http://www.dwd.de/5.php
- http://www.ifdesign.de/5.php
- http://www.beckers-systems.de/5.php
- http://www.pri-wo-hamburg.de/5.php
- http://virtualzone.de/5.php
- http://www.mitsumi.de/5.php
- http://www.fu-berlin.de/5.php
- http://www.nabu.de/5.php
- http://www.tekeli.de/5.php
- http://www.welt.de/5.php
- http://www.gospel-nations.de/5.php
- http://www.neznakomez.de/5.php
- http://www.tecchannel.de/5.php
- http://www.php-resource.de/5.php
- http://www.windac.de/5.php
- http://www.gsi.de/5.php
- http://www.turism.de/5.php
- http://jakimov.golos.de/5.php
- http://www.www.mirko-becker.gmxhome.de/5.php
- http://vg.xtonne.de/5.php
- http://www.go-amman.de/5.php
- http://3treepoint.com/5.php
- http://www.restarted-alliance.de/5.php
- http://2udar.ligakvn.de/5.php
- http://www.sprach-zertifikat.de/5.php
- http://www.dfg.de/5.php
- http://www.kliniken.de/5.php
- http://www.winfuture.de/5.php
- http://www.hamburg.de/5.php
- http://www.auma.de/5.php
- http://www.teac.de/5.php
- http://www.eumetsat.de/5.php
- http://www.documenta.de/5.php
- http://hardvision.ru/5.php
- http://www.bruecke-osteuropa.de/5.php
- http://www.mk-motorsport.de/5.php
- http://www.bundesregierung.de/5.php
- http://ditec.um.es/5.php
- http://www.insel-ruegen-hotel.de/5.php
- http://www.tib.uni-hannover.de/5.php
- http://www.chugai.de/5.php
- http://www.blauer-engel.de/5.php
- http://www.partner-inform.de/5.php
- http://250x.com/5.php
- http://villakinderbunt.de/5.php
- http://s318.evanzo-server.de/5.php
- http://andimeisslein.de/5.php
- http://tobimayer.de/5.php
- http://markusgimenez.de/5.php
- http://www.fiz-karlsruhe.de/5.php
- http://www.gdch.de/5.php
- http://www.intermatgmbh.de/5.php
- http://www.hotel-pension-spree.de/5.php
- http://vg.xtonne.de/5.php
- http://www.low-spirit.de/5.php
- http://www.red-dot.de/5.php
- http://www.fernuni-hagen.de/5.php
- http://www.ruletka.de/5.php
- http://www.deutsch-als-fremdsprache.de/5.php
- http://www.uni-oldenburg.de/5.php
- http://fotos.schneider.bards.de/5.php
- http://www.deutsches-museum.de/5.php
- http://www.de-bug.de/5.php
- http://www.uni-stuttgart.de/5.php
- http://www.embl-heidelberg.de/5.php
- http://www.mdz-moskau.de/5.php
- http://www.mitsubishi-evs.de/5.php
- http://www.siegenia-aubi.com/5.php
- http://www.cicv.fr/5.php
- http://www.paromi.de/5.php
- http://www.jura.uni-sb.de/5.php
- http://www.exactaudiocopy.de/5.php
Eltávolítási utasítások
Minden felhasználónak:
A 4353-as adatbázisokkal és legalább 4.2.40-es keresőmotorral a vírus tisztítható.
Egyedi eltávolító segédprogram
A McAfee Stinger már képes a W32/Bagle.z@MM felismerésére és tisztítására.
Manuális eltávolítási lépések
- A számítógép elindítása Védett Módban (Az F8 billentyű lenyomásával a rendszer indulásakor).
- A következő állományok törlése a Windows rendszerkönyvtárból. (Tipikusan ez a C:\Windows\System vagy a C:\Winnt\System32)
drvsys.exe
drvsys.exeopen
drvsys.exeopenopen
- A registry szerkesztése
- Törölje a "drvsys.exe" értéket a következő bejegyzésből:
- HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run- Indítsa újra a számítógépet.
Egyéb elnevezések
I-Worm/Bagle.AA (GRISoft)
W32/Bagle.Y@mm (F-PROT)