Nom:Worm/Bagle.FJ
La date de la découverte:04/02/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~20.000 Octets
Version VDF:6.33.00.195

 Général Méthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32.Beagle.DN@mm
   •  Mcafee: W32/Bagle.dq@MM
   •  Kaspersky: Email-Worm.Win32.Bagle.fk
   •  TrendMicro: WORM_BAGLE.EF
   •  Bitdefender: Trojan.Downloader.Bagle.EO


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\windspl.exe



Ils produisent des copies de leur mêmes. Et en plus des bytes incidentaires vont être attaches, lesquelles ne soient plus identiques avec le fichier original.    • %SYSDIR%\windspl.exeopen
   • %SYSDIR%\windspl.exeopenopen



Le fichier suivant est créé:

%WINDIR%\regisp32.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Bagle.FJ

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DsplObjects = %SYSDIR%\windspl.exe



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • Gwd: Msg reply; Gwd: Hello :-); Gwd: Yahoo!!!; Gwd: Thank you!; Gwd:
      Thanks :); Gwd: Text message; Gwd: Document; Gwd: Incoming message;
      Gwd: Incoming Message; Gwd: Incoming Msg; Gwd: Message Notify; Gwd:
      Notification; Gwd: Changes..; Gwd: Update; Gwd: Fax Message; Gwd:
      Protected message; Gwd: Protected message; Gwd: Forum notify; Gwd:
      Site changes; Gwd: Hi; Gwd: crypted document



Corps:
Le corps de l'email est une des lignes:
   • Ok. Read the attach.
   • Ok. Your file is attached.
   • Ok. More info is in attach
   • Ok. See attach.
   • Ok. Please, have a look at the attached file.
   • Ok. Your document is attached.
   • Ok. Please, read the document.
   • Ok. Attach tells everything.
   • Ok. Attached file tells everything.
   • Ok. Check attached file for details.
   • Ok. Check attached file.
   • Ok. Pay attention at the attach.
   • Ok. See the attached file for details.
   • Ok. Message is in attach
   • Ok. Here is the file.


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • www.cumonherface
   • Details
   • XXX_livebabes
   • XXX_PornoUpdates
   • xxxporno
   • fuck_her
   • Info
   • Common
   • MoreInfo
   • Message

    L'extension du fichier est une des suivantes:
   • .exe
   • .scr
   • .com
   • .zip
   • .vbs
   • .hta
   • .cpl



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • @hotmail; @msn; @microsoft; rating@; f-secur; news; update; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      kasp; admin; icrosoft; support; ntivi; unix; bsd; linux; listserv;
      certific; sopho; @foo; @iana; free-av; @messagelab; winzip; google;
      winrar; samples; abuse; panda; cafee; spam; pgp; @avp.; noreply;
      local; root@; postmaster@

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il cherche les répertoires qui contient la sous chaîne de caractères suivante:
   • shar

   En cas de succès, les fichiers suivants sont créés:
   • Microsoft Office 2003 Crack, Working!.exe; Microsoft Windows XP, WinXP
      Crack, working Keygen.exe; Microsoft Office XP working Crack,
      Keygen.exe; Porno, sex, oral, anal cool, awesome!!.exe; Porno
      Screensaver.scr; Serials.txt.exe; KAV 5.0; Kaspersky Antivirus 5.0;
      Porno pics arhive, xxx.exe; Windows Sourcecode update.doc.exe; Ahead
      Nero 7.exe; Windown Longhorn Beta Leak.exe; Opera 8 New!.exe; XXX
      hardcore images.exe; WinAmp 6 New!.exe; WinAmp 5 Pro Keygen Crack
      Update.exe; Adobe Photoshop 9 full.exe; Matrix 3 Revolution English
      Subtitles.exe; ACDSee 9.exe


 Porte dérobée Le port suivant est ouvert:

– windspl.exe sur le port TCP 6777 afin de fournir de capacités de porte dérobée


Serveur de contact:
Le suivant:
   • http://ijj.**********

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Le statut courant du malware

 Informations divers Mutex:
Il crée les Mutex suivants:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_


Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • In a difficult world
   • In a nameless time
   • I want to survive
   • So, you will be mine!!
   • -- Bagle Author, 29.04.04, Germany.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le vendredi 10 février 2006
Description mise à jour par Andrei Gherman le lundi 13 février 2006

Retour . . . .