Полное описание

Имя:	Worm/Bagle.GC
Обнаружен:	30/11/2006
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	188.422 байт.
Контрольная сумма MD5:	23e143e87ff2fb1be5a3e2b2d93ce283
Версия VDF:	6.36.01.108
Версия IVDF:	6.36.01.113
Эвристика:	HEUR/Crypted

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Kaspersky: Email-Worm.Win32.Bagle.gr
   • F-Secure: W32/Bagle.GO
   • Sophos: W32/Bagle-QS
   • Grisoft: I-Worm/Bagle.OI
   • Eset: Win32/Bagle.HB

Ранее были обнаружены как:
   • TR/Bagle.GC

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Загружает файлы
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра

После активации запускается Windows приложение. При этом отображается следующее окно:

Файлы Создаются собственные копии:
   • %APPDATA%\hidn\hldrrr.exe
   • %APPDATA%\hidn\hidn2.exe

Создается архив со своей собственной копией внутри:
   • C:\temp.zip

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %Рабочая папка вредоносной программы%\aspr_keys.ini

– C:\error.txt Файл является безвредным текстовым файлом со следующим содержимым:
   • UTF-8 decoding error.

– %HOME%\Application Data\hidn\m_hook.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rkit.Bagle.GL

Попытка загрузки следующих файлов:

– Следующие URL:
   • http://ujscie.one.pl/**********
   • http://1point2.iae.nl/**********
   • http://appaloosa.no/**********
   • http://apromed.com/**********
   • http://arborfolia.com/**********
   • http://pawlacz.com/**********
   • http://areal-realt.ru/**********
   • http://bitel.ru/**********
   • http://yetii.no-ip.com/**********
   • http://art4u1.superhost.pl/**********
   • http://www.artbed.pl/**********
   • http://art-bizar.foxnet.pl/**********
   • http://www.jonogueira.com/**********
   • http://asdesign.cz/**********
   • http://ftp-dom.earthlink.net/**********
   • http://www.aureaorodeley.com/**********
   • http://www.autoekb.ru/**********
   • http://www.autovorota.ru/**********
   • http://avenue.ee/**********
   • http://ouarzazateservices.com/**********
   • http://stats-adf.altadis.com/**********
   • http://bartex-cit.com.pl/**********
   • http://bazarbekr.sk/**********
   • http://gnu.univ.gda.pl/**********
   • http://bid-usa.com/**********
   • http://biliskov.com/**********
   • http://biomedpel.cz/**********
   • http://blackbull.cz/**********
   • http://bohuminsko.cz/**********
   • http://bonsai-world.com.au/**********
   • http://bpsbillboards.com/**********
   • http://cadinformatics.com/**********
   • http://canecaecia.com/**********
   • http://www.castnetnultimedia.com/**********
   • http://compucel.com/**********
   • http://continentalcarbonindia.com/**********
   • http://ceramax.co.kr/**********
   • http://prime.gushi.org/**********
   • http://www.chapisteriadaniel.com/**********
   • http://charlesspaans.com/**********
   • http://chatsk.wz.cz/**********
   • http://www.chittychat.com/**********
   • http://checkalertusa.com/**********
   • http://cibernegocios.com.ar/**********
   • http://5050clothing.com/**********
   • http://cof666.shockonline.net/**********
   • http://comaxtechnologies.net/**********
   • http://concellodesandias.com/**********
   • http://www.cort.ru/**********
   • http://donchef.com/**********
   • http://www.crfj.com/**********
   • http://kremz.ru/**********
   • http://dev.jintek.com/**********
   • http://foxvcoin.com/**********
   • http://uwua132.org/**********
   • http://v-v-kopretiny.ic.cz/**********
   • http://erich-kaestner-schule-donaueschingen.de/**********
   • http://vanvakfi.com/**********
   • http://axelero.hu/**********
   • http://kisalfold.com/**********
   • http://vega-sps.com/**********
   • http://vidus.ru/**********
   • http://viralstrategies.com/**********
   • http://svatba.viskot.cz/**********
   • http://Vivamodelhobby.com/**********
   • http://vkinfotech.com/**********
   • http://vytukas.com/**********
   • http://waisenhaus-kenya.ch/**********
   • http://watsrisuphan.org/**********
   • http://www.ag.ohio-state.edu/**********
   • http://wbecanada.com/**********
   • http://calamarco.com/**********
   • http://vproinc.com/**********
   • http://grupdogus.de/**********
   • http://knickimbit.de/**********
   • http://dogoodesign.ch/**********
   • http://systemforex.de/**********
   • http://zebrachina.net/**********
   • http://www.walsch.de/**********
   • http://hotchillishop.de/**********
   • http://innovation.ojom.net/**********
   • http://massgroup.de/**********
   • http://web-comp.hu/**********
   • http://webfull.com/**********
   • http://welvo.com/**********
   • http://www.ag.ohio-state.edu/**********
   • http://poliklinika-vajnorska.sk/**********
   • http://wvpilots.org/**********
   • http://www.kersten.de/**********
   • http://www.kljbwadersloh.de/**********
   • http://www.voov.de/**********
   • http://www.wchat.cz/**********
   • http://www.wg-aufbau-bautzen.de/**********
   • http://www.wzhuate.com/**********
   • http://zsnabreznaknm.sk/**********
   • http://xotravel.ru/**********
   • http://ilikesimple.com/**********
   • http://yeniguntugla.com/**********
Сохраняется локально в: %SYSDIR%\re_file.exe На момент проверки данный файл не был доступен.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • drv_st_key = %APPDATA%\hidn\hidn2.exe

Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%APPDATA%\hidn\m_hook.sys
   • DisplayName = Empty

Удаляются все значения следующего ключа реестра и его подключей:
   • [HKLM\SYSTEM\CurrentControlSet\Control\Safeboot]

Добавляется следующий ключ реестра:

– [HKCU\Software\FirstRuxzx]
   • FirstRu21n = 1

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Следующий электронный адрес:
   • user%несколько произвольных чисел% @gmail.com

Тема:
Одно из следующих:
   • price_new%актуальная дата%
   • price_ %актуальная дата%
   • price%актуальная дата%
   • price %актуальная дата%

Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • It Is Protected
     Passwrd: %Графическое изображение пароля%

   • thank you !!!
     Passwrd: %Графическое изображение пароля%

   • New year's discounts
     Passwrd: %Графическое изображение пароля%

Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • price%актуальная дата%.zip
   • new_price%актуальная дата%.zip
   • price_list%актуальная дата%.zip
   • latest_price%актуальная дата%.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

Письмо выглядит следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • rating@; f-secur; news; update; anyone@; bugs@; contract@; feste;
      gold-certs@; help@; info@; nobody@; noone@; kasp; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
      panda; cafee; spam; pgp; @avp.; noreply; local; root@; postmaster@

Связывается с DNS:
В случае неудачи выполнения запроса со стандартным DNS выполняется попытка подключения к следующему.
Имеется возможность связаться со следующим DNS сервером:
   • 217.5.97.137

Завершение процесса Список завершаемых служб:
   • Aavmker4; ABVPN2K; ADFirewall; AFWMCL; Ahnlab task Scheduler; alerter;
      AlertManger; AntiVir Service; AntiyFirewall; aswMon2; aswRdr; aswTdi;
      aswUpdSv; Ati HotKey Poller; avast! Antivirus; avast! Mail Scanner;
      avast! Web Scanner; AVEService; AVExch32Service; AvFlt; Avg7Alrt;
      Avg7Core; Avg7RsW; Avg7RsXP; Avg7UpdSvc; AvgCore; AvgFsh; AVGFwSrv;
      AvgFwSvr; AvgServ; AvgTdi; AVIRAMailService; AVIRAService; avpcc;
      AVUPDService; AVWUpSrv; AvxIni; awhost32; backweb client - 4476822;
      BackWeb Client - 7681197; backweb client-4476822; Bdfndisf; bdftdif;
      bdss; BlackICE; BsFileSpy; BsFirewall; BsMailProxy; CAISafe; ccEvtMgr;
      ccPwdSvc; ccSetMgr; ccSetMgr.exe; DefWatch; drwebnet; dvpapi; dvpinit;
      ewido security suite control; ewido security suite driver; ewido
      security suite guard; F-Prot Antivirus Update Monitor; F-Secure
      Gatekeeper Handler Starter; firewall; fsbwsys; FSDFWD; FSFW; FSMA;
      FwcAgent; fwdrv; Guard NT; HSnSFW; HSnSPro; InoRPC; InoRT; InoTask;
      Ip6Fw; Ip6FwHlp; KAVMonitorService; KAVSvc; KLBLMain; KPfwSvc;
      KWatch3; KWatchSvc; McAfee Firewall; McAfeeFramework; McShield;
      McTaskManager; mcupdmgr.exe; MCVSRte; Microsoft NetWork FireWall
      Services; MonSvcNT; MpfService; navapsvc; Ndisuio; NDIS_RD; Network
      Associates Log Service; nipsvc; NISSERV; NISUM; NOD32ControlCenter;
      NOD32krn; NOD32Service; Norman NJeeves; Norman Type-R; Norman ZANDA;
      Norton AntiVirus Server; NPDriver; NPFMntor; NProtectService; NSCTOP;
      nvcoas; NVCScheduler; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg;
      nwclnth; NWService; OfcPfwSvc; Outbreak Manager; Outpost Firewall;
      OutpostFirewall; PASSRV; PAVAGENTE; PavAtScheduler; PAVDRV; PAVFIRES;
      PAVFNSVR; Pavkre; PavProc; PavProt; PavPrSrv; PavReport; PAVSRV;
      PCCPFW; PCC_PFW; PersFW; Personal Firewall; PREVSRV; PSIMSVC;
      qhwscsvc; wscsvc; Quick Heal Online Protection; ravmon8; RfwService;
      SAVFMSE; SAVScan; SBService; schscnt; SharedAccess; SmcService;
      SNDSrvc; SPBBCSvc; SpiderNT; SweepNet; Symantec AntiVirus Client;
      Symantec Core LC; The_Hacker_Antivirus; Tmntsrv; TmPfw; tmproxy;
      tmtdi; tm_cfw; T_H_S_M; V3MonNT; V3MonSvc; Vba32ECM; Vba32ifs;
      Vba32Ldr; Vba32PP3; VBCompManService; VexiraAntivirus; VFILT; VisNetic
      AntiVirus Plug-in; vrfwsvc; vsmon; VSSERV; WinAntivirus; WinRoute;
      wuauserv; xcomm

Backdoor Устанавливает соединение с сервером
Один из следующих:
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********

Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.

Скрывает следующее:
– Собственные файлы
– Собственный процесс
– Собственные ключи реестра

Используемый метод:
• Невидимый из Windows API

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• ASProtect

Описание добавил Alexander Vukcevic в(о) пятница, 1 декабря 2006 г.
Описание обновил Andrei Gherman в(о) понедельник, 4 декабря 2006 г.

Назад . . . .