Nume:TR/Bagle.FM
Descoperit pe data de:24/12/2005
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:21.357 Bytes
MD5:40e153840647aa59a64a2699f2e8187b
Versiune VDF:6.33.00.63

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Beagle.DB@mm
   •  Kaspersky: Email-Worm.Win32.Bagle.ex
   •  TrendMicro: WORM_BAGLE.BY
   •  Sophos: W32/Bagle-BY
   •  VirusBuster: I-Worm.Bagle.FZ
   •  Eset: Win32/Bagle
   •  Bitdefender: Win32.Bagle.FB@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Descarca fisiere malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wind2ll2.exe




Incearca sa descarce cateva fisiere:

– Adresele sunt urmatoarele:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://ekshrine.com/images/**********
   • http://www.familia-sanchez.net/images/**********
   • http://www.asymchem.com/images/**********
   • http://www.baku-xeber.com/images/**********
   • http://www.abmedical.pl/images/**********
   • http://www.cellphonemadeinchina.com/images/**********
Fisierul este stocat pe hard disc la: %WINDIR%\eml.exe La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresele sunt urmatoarele:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\re_file.exe La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erfgddfk"="%SYSDIR%\wind2ll2.exe"



Se adauga in registrii sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erfgddfk"="%SYSDIR%\wind2ll2.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Subiect:
Unul din urmatoarele:
   • New Year's
   • New Year's Day.
   • Happy New Year
   • We congratulate happy New Year
   • New 2006



Corpul email-ului:
Corpul email-ului este unul din textele:
   • New Year's
   • New Year's Day.
   • Happy New Year
   • We congratulate happy New Year
   • New 2006
   • Password:
   • The password is:


Atasament:
Fisierul nu contine o copie ci chiar un alt malware.

Numele fisierului atasat este unul din urmatoarele:
   • Ales.zip; Alice.zip; Alyce.zip; Andrew.zip; Androw.zip; Androwe.zip;
      Ann.zip; Anna.zip; Anne.zip; Annes.zip; Anthonie.zip; Anthony.zip;
      Anthonye.zip; Avice.zip; Avis.zip; Bennet.zip; Bennett.zip;
      Christean.zip; Christian.zip; Constance.zip; Cybil.zip; Daniel.zip;
      Danyell.zip; Dorithie.zip; Dorothee.zip; Dorothy.zip; Edmond.zip;
      Edmonde.zip; Edmund.zip; Edward.zip; Edwarde.zip; Elizabeth.zip;
      Elizabethe.zip; Ellen.zip; Ellyn.zip; Emanual.zip; Emanuel.zip;
      Emanuell.zip; Ester.zip; Frances.zip; Francis.zip; Fraunces.zip;
      Gabriell.zip; Geoffraie.zip; George.zip; Grace.zip; Harry.zip;
      Harrye.zip; Henrie.zip; Henry.zip; Henrye.zip; Hughe.zip;
      Humphrey.zip; Humphrie.zip; Isabel.zip; Isabell.zip; James.zip;
      Jane.zip; Jeames.zip; Jeffrey.zip; Jeffrye.zip; Joane.zip; Johen.zip;
      John.zip; Josias.zip; Judeth.zip; Judith.zip; Judithe.zip;
      Katherine.zip; Katheryne.zip; Leonard.zip; Leonarde.zip; Margaret.zip;
      Margarett.zip; Margerie.zip; Margerye.zip; Margret.zip; Margrett.zip;
      Marie.zip; Martha.zip; Mary.zip; Marye.zip; Michael.zip; Mychaell.zip;
      Nathaniel.zip; Nathaniell.zip; Nathanyell.zip; Nicholas.zip;
      Nicholaus.zip; Nycholas.zip; Peter.zip; Ralph.zip; Rebecka.zip;
      Richard.zip; Richarde.zip; Robert.zip; Roberte.zip; Roger.zip;
      Rose.zip; Rycharde.zip; Samuell.zip; Sara.zip; Sidney.zip;
      Sindony.zip; Stephen.zip; Susan.zip; Susanna.zip; Suzanna.zip;
      Sybell.zip; Sybyll.zip; Syndony.zip; Thomas.zip; Valentyne.zip;
      William.zip; Winifred.zip; Wynefrede.zip; Wynefreed.zip;
      Wynnefreede.zip

 Email  Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;
      Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;
      Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;
      Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;
      Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;
      Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;
      Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;
      James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;
      Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;
      Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;
      Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;
      Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;
      Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;
      Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;
      Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;
      Wynefreed; Wynnefreede



Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@


Server MX:
Nu foloseste serverul MX implicit.
Se poate conecta la serverul MX:
   • smtp.mail.ru

 Terminarea proceselor Incearca sa inchida urmatoarele procese si sa stearga fisierele corespunzatoare:
   • 1t1epad.exe
   • t1es1t.exe


 Backdoor Deschide portul

– %SYSDIR%\wind2ll2.exe pe portul TCP 80 pentru a functiona ca server proxy.

 Alte informatii Creeaza urmatorii mutecsi:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Irina Boldea le lundi 29 mai 2006
Description mise à jour par Irina Boldea le lundi 29 mai 2006

Retour . . . .