Nom:Worm/Bagle.CW
La date de la découverte:20/09/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:31.416 Octets
Somme de contrôle MD5:67f2c0b3ca58bdcae30A4c557cde5a24
Version VDF:6.32.00.25

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Beagle.CG@mm
   •  Kaspersky: Email-Worm.Win32.Bagle.cz
   •  TrendMicro: WORM_BAGLE.CZ
   •  VirusBuster: I-Worm.Bagle.DU
   •  Eset: Win32/Bagle.CO
   •  Bitdefender: Win32.Bagle.FH@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\windll2.exe




Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\re_file.exe Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– Les emplacements sont les suivants:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://fyeye.com/lyra/**********
   • http://ligapichangueras.cl/images/**********
   • http://ekshrine.com/images/**********
   • http://directeenhuis.nl/images/**********
   • http://creacionesartisticasandaluzas.com/bovedas/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\eml.exe Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • "erthegdr" = "%SYSDIR%\windll2.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • erthegdr
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\ewrt]

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est une des lignes:
   • The password is
   • Password:
   • price
   • new price


Pièce jointe:
Le contenu du fichier n'est pas sa propre copie, mais un autre malware.

Le nom de fichier de l'attachement est un des suivants:
   • price.zip
   • price2.zip
   • price_new.zip
   • price_09.zip
   • 09_price.zip
   • newprice.zip
   • new_price.zip
   • new__price.zip

 Envoie de messages Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@

 Arrêt de processus: La liste des processus qui sont terminés:
   • 1t1epad.exe
   • t1es1t.exe


 Informations divers Mutex:
Il crée les Mutex suivants:
   • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
   • (null)

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le lundi 20 février 2006
Description mise à jour par Irina Boldea le jeudi 16 mars 2006

Retour . . . .