Nome del virus:Worm/Bagle.CW
Scoperto:20/09/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:31.416 Byte
Somma di controllo MD5:67f2c0b3ca58bdcae30A4c557cde5a24
Versione VDF:6.32.00.25

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Beagle.CG@mm
   •  Kaspersky: Email-Worm.Win32.Bagle.cz
   •  TrendMicro: WORM_BAGLE.CZ
   •  VirusBuster: I-Worm.Bagle.DU
   •  Eset: Win32/Bagle.CO
   •  Bitdefender: Win32.Bagle.FH@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Scarica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\windll2.exe




Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Viene salvato in locale sotto: %SYSDIR%\re_file.exe Al momento dell'analisi questo file non era più disponibile.

– Le posizioni sono le seguenti:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://fyeye.com/lyra/**********
   • http://ligapichangueras.cl/images/**********
   • http://ekshrine.com/images/**********
   • http://directeenhuis.nl/images/**********
   • http://creacionesartisticasandaluzas.com/bovedas/**********
Viene salvato in locale sotto: %WINDIR%\eml.exe Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • "erthegdr" = "%SYSDIR%\windll2.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • erthegdr
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\ewrt]

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
La riga dell'oggetto è vuota.


Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • The password is
   • Password:
   • price
   • new price


File allegato:
Il contenuto del file non è una copia di se stesso ma un altro malware.

Il nome del file allegato è uno dei seguenti:
   • price.zip
   • price2.zip
   • price_new.zip
   • price_09.zip
   • 09_price.zip
   • newprice.zip
   • new_price.zip
   • new__price.zip

 Invio di messaggi Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@

 Processi terminati Lista dei processi che vengono terminati:
   • 1t1epad.exe
   • t1es1t.exe


 Varie Mutex:
Crea i seguenti Mutex:
   • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
   • (null)

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su lunedì 20 febbraio 2006
Descrizione aggiornata da Irina Boldea su giovedì 16 marzo 2006

Indietro . . . .