Bagle.BI

Si tratta di una nuova variante della famiglia di worm Bagle che viene scaricata da Internet attraverso un altro trojan. All’avvio del sistema esegue il programma Microsoft Paint (mspaint.exe) nel tentativo di ingannare l’utente.

Viene riconosciuto anche come: Bagle.BI, Email-Worm.Win32.Bagle.bq, Email-Worm.Win32.Bagle.BQ, Troj/BagleDl-R, TROJ_BAGLE.BB, W32/_newstuff.2, W32/Bagle.BI, W32/Bagle.BQ-mm, W32/Bagle.gen, Win32.Bagle.BQ@mm, Win32/Bagle.BI, Worm.Bagle.3, Worm.Bagle.BB-gen, Worm.Beagle.AV, Worm/Bagle.Gen

Dimensione: 36,864 Byte

Dettagli tecnici

Quando si esegue, il worm crea una copia di se stesso nel seguente percorso:

%system%\WINSHOST.EXE

Dove la variabile simbolica %system% rappresenta il percorso predefinito della cartella di sistema di Windows.

Il worm crea le seguenti chiavi all’interno del Registro di sistema, in modo tale da essere eseguito in automatico ad ogni avvio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "C:\Windows\System32\WINSHOST.EXE"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "C:\Windows\System32\WINSHOST.EXE"

Crea anche le seguenti chiavi di Registro in modo da contrassegnare i sistemi infetti:

HKEY_CURRENT_USER\Software\FirstRun
FirstRunRR = "dword:00000001"

Il worm modifica le seguenti chiavi di Registro:

Disabilita il servizio Alerter usato per inviare notifiche amministrative

HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000004"

Disabilita Internet Connection Firewall / Internet Connection Sharing

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004"

Disabilita gli aggiornamenti automatici

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000004"

Quindi crea il file WIWSHOST.EXE nella cartella di sistema di Windows

Il file WIWSHOST.EXE e in realta una DLL (Dynamic Link Library), di 18.944 byte, che tentera di iniettarsi nel processo Explorer.exe usando la funzione "CreateRemoteThread". Questa funzione esiste solamente nei sistemi operativi Windows basati su tecnologia NT (NT,2000,XP,2003). La funzione ha il compito di creare un nuovo thread all’interno di qualunque processo e quindi di eseguirne il codice.

Dopo aver iniettato il suo codice, WINSHOST.EXE termina la sua esecuzione, e il thread dannoso di WIWSHOST rimane in memoria, nascosto all’interno del task di Explorer.

Sovrascrive il file HOSTS presente nel percorso "c:\windows\system32\Drivers\etc\hosts" (ubicazione riferita ai sistemi operativi Windows NT, 2000, XP), con la seguente stringa:

127.0.0.1 localhost

Il worm e anche in grado di terminare numerosi programmi di sicurezza (antivirus e firewall). Disabilita qualsiasi servizio in esecuzione con i seguenti nomi:

a5v.dll
AUPD1ATE.EXE
AUPDATE.EXE
AUPDATE.EXE
av.dll
av.dll
Av1synmgr.exe
Avc1onsol.exe
Avconsol.exe
Avconsol.exe
avg23emc.exe
avgc3c.exe
avgcc.exe
avgcc.exe
avgemc.exe
avgemc.exe
Avsynmgr.exe
Avsynmgr.exe
C1CSETMGR.EXE
c6a5fix.exe
cafix.exe
cafix.exe
CC1EVTMGR.EXE
cc1l30.dll
ccA1pp.exe
ccApp.exe
ccApp.exe
CCEVTMGR.EXE
CCEVTMGR.EXE
ccl30.dll
ccl30.dll
CCSETMGR.EXE
CCSETMGR.EXE
ccv1rtrst.dll
ccvrtrst.dll
ccvrtrst.dll
CM1Grdian.exe
CMGrdian.exe
CMGrdian.exe
is5a6fe.exe
isafe.exe
isafe.exe
K2A2V.exe
KAV.exe
KAV.exe
kav12mm.exe
kavmm.exe
kavmm.exe
LUAL1L.EXE
LUALL.EXE
LUALL.EXE
LUI1NSDLL.DLL
LUINSDLL.DLL
LUINSDLL.DLL
Luup1date.exe
Luupdate.exe
Luupdate.exe
Mcsh1ield.exe
Mcshield.exe
Mcshield.exe
mysuperprog.exe
NAV1APSVC.EXE
NAVAPSVC.EXE
NAVAPSVC.EXE
NPFM1NTOR.EXE
NPFMNTOR.EXE
NPFMNTOR.EXE
outp1ost.exe
outpost.exe
outpost.exe
RuLa1unch.exe
RuLaunch.exe
RuLaunch.exe
s1ymlcsvc.exe
SND1Srvc.exe
SNDSrvc.exe
SNDSrvc.exe
SP1BBCSvc.exe
SPBBCSvc.exe
SPBBCSvc.exe
symlcsvc.exe
symlcsvc.exe
Up222Date.exe
Up2Date.exe
Up2Date.exe
ve6tre5dir.dll
vetredir.dll
vetredir.dll
Vs1Stat.exe
vs6va5ult.dll
Vshw1in32.exe
Vshwin32.exe
Vshwin32.exe
VsStat.exe
VsStat.exe
vsvault.dll
vsvault.dll
zatu6tor.exe
zatutor.exe
zatutor.exe
zatutor.exe
zl5avscan.dll
zlavscan.dll
zlavscan.dll
zlavscan.dll
zlcli6ent.exe
zlclient.exe
zlclient.exe
zo3nealarm.exe
zonealarm.exe
zonealarm.exe
zonealarm.exe

Inoltre, tenta di scaricare ed eseguire file da numerosi server Internet:

http:://www.21e????build.com/osa3.gif
http:://www.5????1.net/osa3.gif
http:://www.acs????ohio.com/osa3.gif
http:://www.ag????ria.hu/osa3.gif
http:://www.an????di.com.vn/osa3.gif
http:://www.ang????ham.de/osa3.gif
http:://www.ascol????fibras.com/osa3.gif
http:://www.autom????obilonline.de/osa3.gif
http:://www.ban????gyan.cn/osa3.gif
http:://www.bea????ll-cpa.com/osa3.gif
http:://www.bo????lz.at/osa3.gif
http:://www.bs-sec????urity.de/osa3.gif
http:://www.centr????ovestecasa.it/osa3.gif
http:://www.check????onemedia.nl/osa3.gif
http:://www.conte????ntproject.com/osa3.gif
http:://www.cz-wa????njia.com/osa3.gif
http:://www.czwan????qing.com/osa3.gif
http:://www.cz????zm.com/osa3.gif
http:://www.dat????anet.huwww.datanet.hu/osa3.gif
http:://www.desig????ngong.org/osa3.gif
http:://www.dg????y.com.cn/osa3.gif
http:://www.die-fli????esen.de/osa3.gif
http:://www.discote????ka-funfactory.com/osa3.gif
http:://www.dom-inv????est.com.pl/osa3.gif
http:://www.eag????le.com.cn/osa3.gif
http:://www.eagle????club.com.cn/osa3.gif
http:://www.eh????c.hu/osa3.gif
http:://www.elvis-pr????esley.ch/osa3.gif
http:://www.engel????hardtgmbh.de/osa3.gif
http:://www.exte????rnet.hu/osa3.gif
http:://www.fahrs????chule-herb.de/osa3.gif
http:://www.fahrs????chule-lesser.de/osa3.gif
http:://www.ferme????garoy.com/osa3.gif
http:://www.festivalteat????rooccidente.com/osa3.gif
http:://www.form????holz.at/osa3.gif
http:://www.foto????max.fi/osa3.gif
http:://www.gemt????rox.com.tw/osa3.gif
http:://www.gepe????ters.org/osa3.gif
http:://www.gimex????-messzeuge.de/osa3.gif
http:://www.gomy????home.com.tw/osa3.gif
http:://www.gym????zn.cz/osa3.gif
http:://www.honde????nservice.be/osa3.gif
http:://www.id????af.de/osa3.gif
http:://www.id????cs.be/osa3.gif
http:://www.id????er.cl/osa3.gif
http:://www.insid????e-tgweb.de/osa3.gif
http:://www.iz????oli.sk/osa3.gif
http:://www.jcm-ame????rican.com/osa3.gif
http:://www.jeou????shinn.com/osa3.gif
http:://www.jing????juok.com/osa3.gif
http:://www.jue-????bo.com/osa3.gif
http:://www.king????sley.ch/osa3.gif
http:://www.mark????etvw.com/osa3.gif
http:://www.mega????serve.net/osa3.gif
http:://www.mi????ld.at/osa3.gif
http:://www.niko????gmbh.com/osa3.gif
http:://www.ni????ko.de/osa3.gif
http:://www.ol????va.com.pe/osa3.gif
http:://www.on????24.ee/osa3.gif
http:://www.on????link.net/osa3.gif
http:://www.ppm-al????liance.de/osa3.gif
http:://www.pres????ley.ch/osa3.gif
http:://www.rene????gaderc.com/osa3.gif
http:://www.repl????ayu.com/osa3.gif
http:://www.sach????senbuecher.de/osa3.gif
http:://www.sanji????nyuan.com/osa3.gif
http:://www.scva????nravenswaaij.nl/osa3.gif
http:://www.slo????vanet.sk/osa3.gif
http:://www.sns????photo.com/osa3.gif
http:://www.soc????ietaet.de/osa3.gif
http:://www.soe????co.org/osa3.gif
http:://www.sof????tmajor.ru/osa3.gif
http:://www.sol????t3.org/osa3.gif
http:://www.spac????ium.biz/osa3.gif
http:://www.spee????dcom.home.pl/osa3.gif
http:://www.spir????it-in-steel.at/osa3.gif
http:://www.spo????den.de/osa3.gif
http:://www.spo????rtnf.com/osa3.gif
http:://www.sp????y.az/osa3.gif
http:://www.sqnsol????utions.com/osa3.gif
http:://www.st-pau????lus-bonn.dehtdocs/osa3.gif
http:://www.st????bs.com.hk/osa3.gif
http:://www.steri????pharm.com/osa3.gif
http:://www.stude????nts.stir.ac.uk/osa3.gif
http:://www.subsp????lanet.com/osa3.gif
http:://www.sungo????dbio.com/osa3.gif
http:://www.super????betcs.com/osa3.gif
http:://www.sw????eb.cz/osa3.gif
http:://www.sydo????lo.com/osa3.gif
http:://www.szdi????heng.com/osa3.gif
http:://www.tcic????ampus.net/osa3.gif
http:://www.tech????ni.com.cn/osa3.gif
http:://www.tg-sand????hausen-basketball.de/osa3.gif
http:://www.th-m????utan.com/osa3.gif
http:://www.thai????fast.com/osa3.gif
http:://www.thaiv????enture.com/osa3.gif
http:://www.thef????unkiest.com/osa3.gif
http:://www.thenex????tstep.tv/osa3.gif
http:://www.thetexa????soutfitter.com/osa3.gif
http:://www.tmhcsd1????987.friko.pl/osa3.gif
http:://www.tous????sain.be/osa3.gif
http:://www.tra????go.com.pt/osa3.gif
http:://www.trave????lourway.com/osa3.gif
http:://www.trgd.do????brcz.pl/osa3.gif
http:://www.triap????ex.cz/osa3.gif
http:://www.trip????tonic.ch/osa3.gif
http:://www.tv-ma????rina.com/osa3.gif
http:://www.udc-cassi????nadepecchi.it/osa3.gif
http:://www.univ????erse.sk/osa3.gif
http:://www.uspow????erchair.com/osa3.gif
http:://www.u????w.hu/osa3.gif
http:://www.vercru????yssenelektro.be/osa3.gif
http:://www.vet????24h.com/osa3.gif
http:://www.vini????meloni.com/osa3.gif
http:://www.vn????n.vn/osa3.gif
http:://www.vnrv????jiet.ac.in/osa3.gif
http:://www.vote????2fateh.com/osa3.gif
http:://www.vw.pre????ss-bank.pl/osa3.gif
http:://www.wam????ba.asn.au/osa3.gif
http:://www.wd????p.co.za/osa3.gif
http:://www.welc????corp.com/osa3.gif
http:://www.wesar????tproductions.com/osa3.gif
http:://www.wilsons????country.com/osa3.gif
http:://www.win????dstar.pl/osa3.gif
http:://www.wise-indu????stries.com/osa3.gif
http:://www.wit????old.pl/osa3.gif
http:://www.wom????bband.com/osa3.gif
http:://www.x-t????reme.cz/osa3.gif
http:://www.xia????ntong.net/osa3.gif
http:://www.xmp????ie.com/osa3.gif
http:://www.xmt????d.com/osa3.gif
http:://www.xoj????c.com/osa3.gif
http:://www.yannic????k-spruyt.be/osa3.gif
http:://www.yayado????wnload.com/osa3.gif
http:://www.yester????days.co.za/osa3.gif
http:://www.ysh????kj.com/osa3.gif
http:://www.zak????azcd.dp.ua/osa3.gif
http:://www.zen????esoftware.com/osa3.gif
http:://www.zen????tek.co.za/osa3.gif
http:://www.zor????bas.az/osa3.gif
http:://www.zsb????ersala.edu.sk/osa3.gif

Istruzioni per l'eliminazione

L'euristica estesa di NOD32 e stata in grado di intercettare questa variante di Bagle ancora prima di aggiornare il database delle firme digitali. Per tutti gli utenti che non usassero NOD32, Future Time ha rilasciato/aggiornato un apposito programma di rimozione

http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleBB

Istruzioni per l'eliminazione manuale

Disattivare il ripristino automatico di configurazione in Windows XP/ME.

1. Da Start->Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema.
2. Eliminare sotto la colonna "Nome", la chiave "winshost.exe", nelle seguenti chiavi di Registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Cancellare la cartella “FirstRun” nella seguente chiave di Registro:

HKEY_CURRENT_USER\Software\FirstRun
4. Cambiare il valore “Start” come qui riportato nelle seguenti chiavi di Registro:

HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000003"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000002"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000002"
5. Chiudere l’editor del Registro di sistema.
6. Usando l’”Esplora” di Windows cercare il file HOSTS (senza estensione) all’interno di queste cartelle:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
7. Se appare, cliccare due volte su questo file (HOSTS). Selezionare “Scegliere il programma da utilizzare dall’elenco”, quindi “Accetta”, e dopo selezionare NOTEPAD.
NON CONTRASSEGNARE "Usa sempre quest'applicazione per aprire questo tipo di file”
8. Cancellare tutte le stringhe che iniziano con un numero, salvo questa:

127.0.0.1 localhost
9. Salvare i cambiamenti effettuati ed uscire da Notepad
10. Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.