Worm/Bagle.EO - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Bagle.EO
Scoperto:	28/11/2005
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	20.672 Byte
Somma di controllo MD5:	aee49aa81eceff74a4e5162b6284f989
Versione VDF:	6.32.00.230

Generale Metodo di propagazione:
   • Email

Alias:
   • Kaspersky: Email-Worm.Win32.Bagle.eo
   • TrendMicro: WORM_BAGLE.BX
   • VirusBuster: I-Worm.Bagle.EZ
   • Eset: Win32/Bagle.DR
   • Bitdefender: Win32.Bagle.EO@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Scarica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alla seguente posizione:
   • %SYSDIR%\wind2ll2.exe

Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://ekshrine.com/images/**********
   • http://www.familia-sanchez.net/images/**********
   • http://www.asymchem.com/images/**********
   • http://www.baku-xeber.com/images/**********
   • http://www.abmedical.pl/images/**********
   • http://www.cellphonemadeinchina.com/images/**********
Viene salvato in locale sotto: %WINDIR%\eml.exe Al momento dell'analisi questo file non era più disponibile.

– Le posizioni sono le seguenti:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Viene salvato in locale sotto: %SYSDIR%\re_file.exe Al momento dell'analisi questo file non era più disponibile.

Registro I valori delle seguenti chiavi di registro vengono rimossi:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erfgddfk"="%SYSDIR%\wind2ll2.exe"

Viene aggiunta la seguente chiave di registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erfgddfk"="%SYSDIR%\wind2ll2.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

Oggetto:
Uno dei seguenti:
   • Foto&Video; MAIL.FOTO; D-Foto; S-Foto; m-foto; foto-flower;
      foto-forum; Foto.Md; foto-bank; web-foto; VIP-foto; foto-books;
      FOTO-DIGITAL; Internet-foto; foto telephone; foto land; OK-FOTO;
      AN-FOTO; Foto-War; FOTO HOME; Foto Portal; FOTO-1; FOTO-2; FOTO-3;
      FOTO-4; All-foto; my foto

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • Foto&Video
   • MAIL.FOTO
   • D-Foto
   • S-Foto
   • m-foto
   • foto-flower
   • foto-forum
   • Foto.Md
   • foto-bank
   • web-foto
   • VIP-foto
   • foto-books
   • FOTO-DIGITAL
   • Internet-foto
   • foto telephone
   • foto land
   • OK-FOTO
   • AN-FOTO
   • Foto-War
   • FOTO HOME
   • Foto Portal
   • FOTO-1
   • FOTO-2
   • FOTO-3
   • FOTO-4
   • All-foto
   • my foto
   • Password:
   • The password is:

File allegato:
Il contenuto del file non è una copia di se stesso ma un altro malware.

Il nome del file allegato è uno dei seguenti:
   • Ales.zip; Alice.zip; Alyce.zip; Andrew.zip; Androw.zip; Androwe.zip;
      Ann.zip; Anna.zip; Anne.zip; Annes.zip; Anthonie.zip; Anthony.zip;
      Anthonye.zip; Avice.zip; Avis.zip; Bennet.zip; Bennett.zip;
      Christean.zip; Christian.zip; Constance.zip; Cybil.zip; Daniel.zip;
      Danyell.zip; Dorithie.zip; Dorothee.zip; Dorothy.zip; Edmond.zip;
      Edmonde.zip; Edmund.zip; Edward.zip; Edwarde.zip; Elizabeth.zip;
      Elizabethe.zip; Ellen.zip; Ellyn.zip; Emanual.zip; Emanuel.zip;
      Emanuell.zip; Ester.zip; Frances.zip; Francis.zip; Fraunces.zip;
      Gabriell.zip; Geoffraie.zip; George.zip; Grace.zip; Harry.zip;
      Harrye.zip; Henrie.zip; Henry.zip; Henrye.zip; Hughe.zip;
      Humphrey.zip; Humphrie.zip; Isabel.zip; Isabell.zip; James.zip;
      Jane.zip; Jeames.zip; Jeffrey.zip; Jeffrye.zip; Joane.zip; Johen.zip;
      John.zip; Josias.zip; Judeth.zip; Judith.zip; Judithe.zip;
      Katherine.zip; Katheryne.zip; Leonard.zip; Leonarde.zip; Margaret.zip;
      Margarett.zip; Margerie.zip; Margerye.zip; Margret.zip; Margrett.zip;
      Marie.zip; Martha.zip; Mary.zip; Marye.zip; Michael.zip; Mychaell.zip;
      Nathaniel.zip; Nathaniell.zip; Nathanyell.zip; Nicholas.zip;
      Nicholaus.zip; Nycholas.zip; Peter.zip; Ralph.zip; Rebecka.zip;
      Richard.zip; Richarde.zip; Robert.zip; Roberte.zip; Roger.zip;
      Rose.zip; Rycharde.zip; Samuell.zip; Sara.zip; Sidney.zip;
      Sindony.zip; Stephen.zip; Susan.zip; Susanna.zip; Suzanna.zip;
      Sybell.zip; Sybyll.zip; Syndony.zip; Thomas.zip; Valentyne.zip;
      William.zip; Winifred.zip; Wynefrede.zip; Wynefreed.zip;
      Wynnefreede.zip

Invio di messaggi Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;
      Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;
      Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;
      Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;
      Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;
      Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;
      Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;
      James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;
      Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;
      Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;
      Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;
      Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;
      Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;
      Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;
      Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;
      Wynefreed; Wynnefreede

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@

Server MX:
Non utilizza il server MX standard.
Ha la capacità di contattare il server MX:
   • smtp.mail.ru

Processi terminati Prova a terminare i seguenti processi e a cancellare i file corrispondenti:
• 1t1epad.exe
• t1es1t.exe

Backdoor Viene aperta la seguente porta:

– %SYSDIR%\wind2ll2.exe sulla porta TCP 80 con lo scopo di procurarsi un server proxy.

Varie Crea i seguenti Mutex:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Irina Boldea il Fri, 26 May 2006 16:50 (GMT+1)
Descrizione aggiornata da Irina Boldea il Mon, 29 May 2006 15:15 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro