Si tratta di una nuova variante della famiglia di worm Bagle che viene scaricata da Internet attraverso un altro trojan. All’avvio del sistema esegue il programma Microsoft Paint (mspaint.exe) nel tentativo di ingannare l’utente.
Viene riconosciuto anche come: Bagle.BI, Email-Worm.Win32.Bagle.bq, Email-Worm.Win32.Bagle.BQ, Troj/BagleDl-R, TROJ_BAGLE.BB, W32/_newstuff.2, W32/Bagle.BI, W32/Bagle.BQ-mm, W32/Bagle.gen, Win32.Bagle.BQ@mm, Win32/Bagle.BI, Worm.Bagle.3, Worm.Bagle.BB-gen, Worm.Beagle.AV, Worm/Bagle.Gen
Dimensione: 36,864 Byte
Dettagli tecnici
Quando si esegue, il worm crea una copia di se stesso nel seguente percorso:
%system%\WINSHOST.EXE
Dove la variabile simbolica %system% rappresenta il percorso predefinito della cartella di sistema di Windows.
Il worm crea le seguenti chiavi all’interno del Registro di sistema, in modo tale da essere eseguito in automatico ad ogni avvio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "C:\Windows\System32\WINSHOST.EXE"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "C:\Windows\System32\WINSHOST.EXE"
Crea anche le seguenti chiavi di Registro in modo da contrassegnare i sistemi infetti:
HKEY_CURRENT_USER\Software\FirstRun FirstRunRR = "dword:00000001"
Il worm modifica le seguenti chiavi di Registro:
Disabilita il servizio Alerter usato per inviare notifiche amministrative
HKLM\SYSTEM\CurrentControlSet\Services\Alerter Start = "dword:00000004"
Disabilita Internet Connection Firewall / Internet Connection Sharing
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "dword:00000004"
Disabilita gli aggiornamenti automatici
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv Start = "dword:00000004"
Quindi crea il file WIWSHOST.EXE nella cartella di sistema di Windows
Il file WIWSHOST.EXE e in realta una DLL (Dynamic Link Library), di 18.944 byte, che tentera di iniettarsi nel processo Explorer.exe usando la funzione "CreateRemoteThread". Questa funzione esiste solamente nei sistemi operativi Windows basati su tecnologia NT (NT,2000,XP,2003). La funzione ha il compito di creare un nuovo thread all’interno di qualunque processo e quindi di eseguirne il codice.
Dopo aver iniettato il suo codice, WINSHOST.EXE termina la sua esecuzione, e il thread dannoso di WIWSHOST rimane in memoria, nascosto all’interno del task di Explorer.
Sovrascrive il file HOSTS presente nel percorso "c:\windows\system32\Drivers\etc\hosts" (ubicazione riferita ai sistemi operativi Windows NT, 2000, XP), con la seguente stringa:
127.0.0.1 localhost
Il worm e anche in grado di terminare numerosi programmi di sicurezza (antivirus e firewall). Disabilita qualsiasi servizio in esecuzione con i seguenti nomi:
a5v.dll AUPD1ATE.EXE AUPDATE.EXE AUPDATE.EXE av.dll av.dll Av1synmgr.exe Avc1onsol.exe Avconsol.exe Avconsol.exe avg23emc.exe avgc3c.exe avgcc.exe avgcc.exe avgemc.exe avgemc.exe Avsynmgr.exe Avsynmgr.exe C1CSETMGR.EXE c6a5fix.exe cafix.exe cafix.exe CC1EVTMGR.EXE cc1l30.dll ccA1pp.exe ccApp.exe ccApp.exe CCEVTMGR.EXE CCEVTMGR.EXE ccl30.dll ccl30.dll CCSETMGR.EXE CCSETMGR.EXE ccv1rtrst.dll ccvrtrst.dll ccvrtrst.dll CM1Grdian.exe CMGrdian.exe CMGrdian.exe is5a6fe.exe isafe.exe isafe.exe K2A2V.exe KAV.exe KAV.exe kav12mm.exe kavmm.exe kavmm.exe LUAL1L.EXE LUALL.EXE LUALL.EXE LUI1NSDLL.DLL LUINSDLL.DLL LUINSDLL.DLL Luup1date.exe Luupdate.exe Luupdate.exe Mcsh1ield.exe Mcshield.exe Mcshield.exe mysuperprog.exe NAV1APSVC.EXE NAVAPSVC.EXE NAVAPSVC.EXE NPFM1NTOR.EXE NPFMNTOR.EXE NPFMNTOR.EXE outp1ost.exe outpost.exe outpost.exe RuLa1unch.exe RuLaunch.exe RuLaunch.exe s1ymlcsvc.exe SND1Srvc.exe SNDSrvc.exe SNDSrvc.exe SP1BBCSvc.exe SPBBCSvc.exe SPBBCSvc.exe symlcsvc.exe symlcsvc.exe Up222Date.exe Up2Date.exe Up2Date.exe ve6tre5dir.dll vetredir.dll vetredir.dll Vs1Stat.exe vs6va5ult.dll Vshw1in32.exe Vshwin32.exe Vshwin32.exe VsStat.exe VsStat.exe vsvault.dll vsvault.dll zatu6tor.exe zatutor.exe zatutor.exe zatutor.exe zl5avscan.dll zlavscan.dll zlavscan.dll zlavscan.dll zlcli6ent.exe zlclient.exe zlclient.exe zo3nealarm.exe zonealarm.exe zonealarm.exe zonealarm.exe
Inoltre, tenta di scaricare ed eseguire file da numerosi server Internet:
http:://www.21e????build.com/osa3.gif http:://www.5????1.net/osa3.gif http:://www.acs????ohio.com/osa3.gif http:://www.ag????ria.hu/osa3.gif http:://www.an????di.com.vn/osa3.gif http:://www.ang????ham.de/osa3.gif http:://www.ascol????fibras.com/osa3.gif http:://www.autom????obilonline.de/osa3.gif http:://www.ban????gyan.cn/osa3.gif http:://www.bea????ll-cpa.com/osa3.gif http:://www.bo????lz.at/osa3.gif http:://www.bs-sec????urity.de/osa3.gif http:://www.centr????ovestecasa.it/osa3.gif http:://www.check????onemedia.nl/osa3.gif http:://www.conte????ntproject.com/osa3.gif http:://www.cz-wa????njia.com/osa3.gif http:://www.czwan????qing.com/osa3.gif http:://www.cz????zm.com/osa3.gif http:://www.dat????anet.huwww.datanet.hu/osa3.gif http:://www.desig????ngong.org/osa3.gif http:://www.dg????y.com.cn/osa3.gif http:://www.die-fli????esen.de/osa3.gif http:://www.discote????ka-funfactory.com/osa3.gif http:://www.dom-inv????est.com.pl/osa3.gif http:://www.eag????le.com.cn/osa3.gif http:://www.eagle????club.com.cn/osa3.gif http:://www.eh????c.hu/osa3.gif http:://www.elvis-pr????esley.ch/osa3.gif http:://www.engel????hardtgmbh.de/osa3.gif http:://www.exte????rnet.hu/osa3.gif http:://www.fahrs????chule-herb.de/osa3.gif http:://www.fahrs????chule-lesser.de/osa3.gif http:://www.ferme????garoy.com/osa3.gif http:://www.festivalteat????rooccidente.com/osa3.gif http:://www.form????holz.at/osa3.gif http:://www.foto????max.fi/osa3.gif http:://www.gemt????rox.com.tw/osa3.gif http:://www.gepe????ters.org/osa3.gif http:://www.gimex????-messzeuge.de/osa3.gif http:://www.gomy????home.com.tw/osa3.gif http:://www.gym????zn.cz/osa3.gif http:://www.honde????nservice.be/osa3.gif http:://www.id????af.de/osa3.gif http:://www.id????cs.be/osa3.gif http:://www.id????er.cl/osa3.gif http:://www.insid????e-tgweb.de/osa3.gif http:://www.iz????oli.sk/osa3.gif http:://www.jcm-ame????rican.com/osa3.gif http:://www.jeou????shinn.com/osa3.gif http:://www.jing????juok.com/osa3.gif http:://www.jue-????bo.com/osa3.gif http:://www.king????sley.ch/osa3.gif http:://www.mark????etvw.com/osa3.gif http:://www.mega????serve.net/osa3.gif http:://www.mi????ld.at/osa3.gif http:://www.niko????gmbh.com/osa3.gif http:://www.ni????ko.de/osa3.gif http:://www.ol????va.com.pe/osa3.gif http:://www.on????24.ee/osa3.gif http:://www.on????link.net/osa3.gif http:://www.ppm-al????liance.de/osa3.gif http:://www.pres????ley.ch/osa3.gif http:://www.rene????gaderc.com/osa3.gif http:://www.repl????ayu.com/osa3.gif http:://www.sach????senbuecher.de/osa3.gif http:://www.sanji????nyuan.com/osa3.gif http:://www.scva????nravenswaaij.nl/osa3.gif http:://www.slo????vanet.sk/osa3.gif http:://www.sns????photo.com/osa3.gif http:://www.soc????ietaet.de/osa3.gif http:://www.soe????co.org/osa3.gif http:://www.sof????tmajor.ru/osa3.gif http:://www.sol????t3.org/osa3.gif http:://www.spac????ium.biz/osa3.gif http:://www.spee????dcom.home.pl/osa3.gif http:://www.spir????it-in-steel.at/osa3.gif http:://www.spo????den.de/osa3.gif http:://www.spo????rtnf.com/osa3.gif http:://www.sp????y.az/osa3.gif http:://www.sqnsol????utions.com/osa3.gif http:://www.st-pau????lus-bonn.dehtdocs/osa3.gif http:://www.st????bs.com.hk/osa3.gif http:://www.steri????pharm.com/osa3.gif http:://www.stude????nts.stir.ac.uk/osa3.gif http:://www.subsp????lanet.com/osa3.gif http:://www.sungo????dbio.com/osa3.gif http:://www.super????betcs.com/osa3.gif http:://www.sw????eb.cz/osa3.gif http:://www.sydo????lo.com/osa3.gif http:://www.szdi????heng.com/osa3.gif http:://www.tcic????ampus.net/osa3.gif http:://www.tech????ni.com.cn/osa3.gif http:://www.tg-sand????hausen-basketball.de/osa3.gif http:://www.th-m????utan.com/osa3.gif http:://www.thai????fast.com/osa3.gif http:://www.thaiv????enture.com/osa3.gif http:://www.thef????unkiest.com/osa3.gif http:://www.thenex????tstep.tv/osa3.gif http:://www.thetexa????soutfitter.com/osa3.gif http:://www.tmhcsd1????987.friko.pl/osa3.gif http:://www.tous????sain.be/osa3.gif http:://www.tra????go.com.pt/osa3.gif http:://www.trave????lourway.com/osa3.gif http:://www.trgd.do????brcz.pl/osa3.gif http:://www.triap????ex.cz/osa3.gif http:://www.trip????tonic.ch/osa3.gif http:://www.tv-ma????rina.com/osa3.gif http:://www.udc-cassi????nadepecchi.it/osa3.gif http:://www.univ????erse.sk/osa3.gif http:://www.uspow????erchair.com/osa3.gif http:://www.u????w.hu/osa3.gif http:://www.vercru????yssenelektro.be/osa3.gif http:://www.vet????24h.com/osa3.gif http:://www.vini????meloni.com/osa3.gif http:://www.vn????n.vn/osa3.gif http:://www.vnrv????jiet.ac.in/osa3.gif http:://www.vote????2fateh.com/osa3.gif http:://www.vw.pre????ss-bank.pl/osa3.gif http:://www.wam????ba.asn.au/osa3.gif http:://www.wd????p.co.za/osa3.gif http:://www.welc????corp.com/osa3.gif http:://www.wesar????tproductions.com/osa3.gif http:://www.wilsons????country.com/osa3.gif http:://www.win????dstar.pl/osa3.gif http:://www.wise-indu????stries.com/osa3.gif http:://www.wit????old.pl/osa3.gif http:://www.wom????bband.com/osa3.gif http:://www.x-t????reme.cz/osa3.gif http:://www.xia????ntong.net/osa3.gif http:://www.xmp????ie.com/osa3.gif http:://www.xmt????d.com/osa3.gif http:://www.xoj????c.com/osa3.gif http:://www.yannic????k-spruyt.be/osa3.gif http:://www.yayado????wnload.com/osa3.gif http:://www.yester????days.co.za/osa3.gif http:://www.ysh????kj.com/osa3.gif http:://www.zak????azcd.dp.ua/osa3.gif http:://www.zen????esoftware.com/osa3.gif http:://www.zen????tek.co.za/osa3.gif http:://www.zor????bas.az/osa3.gif http:://www.zsb????ersala.edu.sk/osa3.gif
Istruzioni per l'eliminazione
L'euristica estesa di NOD32 e stata in grado di intercettare questa variante di Bagle ancora prima di aggiornare il database delle firme digitali. Per tutti gli utenti che non usassero NOD32, Future Time ha rilasciato/aggiornato un apposito programma di rimozione
http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleBB
Istruzioni per l'eliminazione manuale
Disattivare il ripristino automatico di configurazione in Windows XP/ME.
1. Da Start->Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema. 2. Eliminare sotto la colonna "Nome", la chiave "winshost.exe", nelle seguenti chiavi di Registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Cancellare la cartella “FirstRun” nella seguente chiave di Registro:
HKEY_CURRENT_USER\Software\FirstRun 4. Cambiare il valore “Start” come qui riportato nelle seguenti chiavi di Registro:
HKLM\SYSTEM\CurrentControlSet\Services\Alerter Start = "dword:00000003" HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "dword:00000002" HKLM\SYSTEM\CurrentControlSet\Services\wuauserv Start = "dword:00000002" 5. Chiudere l’editor del Registro di sistema. 6. Usando l’”Esplora” di Windows cercare il file HOSTS (senza estensione) all’interno di queste cartelle:
c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 7. Se appare, cliccare due volte su questo file (HOSTS). Selezionare “Scegliere il programma da utilizzare dall’elenco”, quindi “Accetta”, e dopo selezionare NOTEPAD. NON CONTRASSEGNARE "Usa sempre quest'applicazione per aprire questo tipo di file” 8. Cancellare tutte le stringhe che iniziano con un numero, salvo questa:
127.0.0.1 localhost 9. Salvare i cambiamenti effettuati ed uscire da Notepad 10. Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.
|