Worm/Bagle.CW - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Bagle.CW
Data em que surgiu:	20/09/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	31.416 Bytes
MD5 checksum:	67f2c0b3ca58bdcae30A4c557cde5a24
Versão VDF:	6.32.00.25

Vulgarmente Meio de transmissão:
   • E-mail

Alias:
   • Symantec: W32.Beagle.CG@mm
   • Kaspersky: Email-Worm.Win32.Bagle.cz
   • TrendMicro: WORM_BAGLE.CZ
   • VirusBuster: I-Worm.Bagle.DU
   • Eset: Win32/Bagle.CO
   • Bitdefender: Win32.Bagle.FH@mm

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\windll2.exe

Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Encontra-se no disco rígido: %SYSDIR%\re_file.exe Ainda em fase de pesquisa.

– A partir das seguintes localizações:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://fyeye.com/lyra/**********
   • http://ligapichangueras.cl/images/**********
   • http://ekshrine.com/images/**********
   • http://directeenhuis.nl/images/**********
   • http://creacionesartisticasandaluzas.com/bovedas/**********
Encontra-se no disco rígido: %WINDIR%\eml.exe Ainda em fase de pesquisa.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • "erthegdr" = "%SYSDIR%\windll2.exe"

Os valores das seguintes chaves registo do windows são eliminados:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • erthegdr
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– [HKCU\SOFTWARE\ewrt]

E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:

De:
O endereço do remetente é falsificado.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).

Assunto:
O assunto não contém texto.

Corpo:
O corpo do email tem uma das seguintes linhas:
   • The password is
   • Password:
   • price
   • new price

Atalho:
O conteúdo do ficheiro não é uma cópia de si próprio mas de outro malware.

O ficheiro de atalho tem um dos seguintes nomes:
   • price.zip
   • price2.zip
   • price_new.zip
   • price_09.zip
   • 09_price.zip
   • newprice.zip
   • new_price.zip
   • new__price.zip

Mailing Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@

Terminar o processo A seguinte lista de processos são terminados:
• 1t1epad.exe
• t1es1t.exe

Informações diversas Mutex:
Cria os seguintes Mutexes:
   • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
   • (null)

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Irina Boldea em Mon, 20 Feb 2006 11:54 (GMT+1)
Descrição adicionada por Irina Boldea em Thu, 16 Mar 2006 08:18 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back