Il worm e conosciuto anche sotto i seguenti nomi:
Email-Worm.Win32.Bagle.ax, W32/Bagle-AY, W32/Bagle.bk@MM, W32.Beagle.AZ@mm, WORM_BAGLE.AZ, Win32.Bagle.AU
Si tratta di una nuova variante della famiglia di worm Bagle, che presenta le seguenti caratteristiche:
- si diffonde attraverso posta elettronica usando un proprio motore SMTP
- colleziona gli indirizzi e-mail ai quali inviare se stesso effettuando una ricerca all’interno di file presenti sul computer infetto
- l’indirizzo del mittente (campo From:) e fittizio e non corrisponde a quello del mittente reale
- contiene un componente che ha lo scopo di notificare l’avvenuta infezione di un computer all’autore del worm
- nel tentativo di diffondersi attraverso reti peer-to-peer (P2P) copia se stesso nella cartelle che contengono la parola “shar”
Dettagli tecnici
Diffusione via e-mail
I messaggi infetti si presentano nel modo seguente:
Mittente : indirizzo falsificato
Oggetto: una delle frasi elencate
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Messaggio: uno dei seguenti
Thanks for use of our software.
Before use read the help
Allegato: puo essere uno dei seguenti, con estensione .exe, .scr., .com o .cpl
wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03
I messaggi infetti vengono inviati attraverso un proprio motore SMTP (Simple Mail Transfer Protocol). Gli indirizzi e-mail ai quali inviare copie di se stesso vengono recuperati dall’interno di file presenti sul sistema infetto. A tale scopo, il worm effettua una ricerca in tutti i file che possiedono le seguenti estensioni
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Il worm evita di inviare se stesso a tutti gli indirizzi e-mail che contengono le seguenti stringhe di testo:
@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows usando il nome sysformat.exe. Ad esempio:
C:\WINDOWS\SYSTEM32\sysformat.exe
Nella stessa cartella, crea altri due file:
sysformat.exeopen
sysformat.exeopenopen
Allo scopo di essere eseguito in automatico ad ogni avvio del sistema operativo, il worm aggiunge la seguente chiave di Registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
" sysformat" = %system%\sysformat.exe
dove la variabile simbolica %system% rappresenta il percorso predefinito della cartella di sistema di Windows.
Il worm crea anche le seguenti chiavi
HKEY_CURRENT_USER\Software\Microsoft\Params
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
Sempre dal Registro, il worm cancella i valori
"My AV"
" ICQ Net"
dalle seguenti chiavi, se presenti sul sistema infettato
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Il worm crea un mutex (mutual exclusion, un oggetto di sistema di Windows usato per la sincronia dei thread di programma) per assicurarsi che in memoria sia presente una sola istanza di se stesso.
Uno dei seguenti nomi di mutex viene usato dal worm nel tentativo di impedire o bloccare l’infezione di alcune varianti della famiglia di worm Netsky, eventualmente presenti sul sistema:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Il worm tenta di terminare i processi di numerosi programmi di sicurezza, il cui nome e elencato nella lista seguente
alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe
Il worm apre una porta TCP, il cui numero e scelto in modo casuale partendo da 2339.
Diffusione via P2P
Il worm crea i seguenti file in tutte le cartelle che contengono la parola “shar”:
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Componente per l’accesso remoto (backdoor)
Il worm si mette in ascolto su un porta TCP scelta in modo casuale, in attesa di eventuali connessioni remote. Inoltre, tenta di notificare la propria installazione all’autore del worm contattando diversi siti web e richiedendo un file JPG (error.jpg) presente su tali siti
http://www.24-7-transportation.com
http://www.adhdtests.com
http://www.aegee.org
http://www.aimcenter.net
http://www.aimcenter.net
http://www.alupass.lu
http://www.amanit.ru
http://www.andara.com
http://www.angelartsanctuary.com
http://www.anthonyflanagan.com
http://www.approved1stmortgage.com
http://www.argontech.net
http://www.asianfestival.nl
http://www.atlantisteste.hpg.com.br
http://www.aviation-center.de
http://www.aviation-center.de
http://www.bbsh.org
http://www.bga-gsm.ru
http://www.boneheadmusic.com
http://www.boneheadmusic.com
http://www.bottombouncer.com
http://www.bradster.com
http://www.buddyboymusic.com
http://www.bueroservice-it.de
http://www.calderwoodinn.com
http://www.capri-frames.de
http://www.celula.com.mx
http://www.ceskyhosting.cz
http://www.chinasenfa.com
http://www.cntv.info
http://www.compsolutionstore.com
http://www.coolfreepages.com
http://www.corpsite.com
http://www.corpsite.com
http://www.couponcapital.net
http://www.cpc.adv.br
http://www.crystalrose.ca
http://www.cscliberec.cz
http://www.curtmarsh.com
http://www.customloyal.com
http://www.DarrkSydebaby.com
http://www.deadrobot.com
http://www.dontbeaweekendparent.com
http://www.dragcar.com
http://www.ecofotos.com.br
http://www.elenalazar.com
http://www.ellarouge.com.au
http://www.esperanzaparalafamilia.com
http://www.eurostavba.sk
http://www.everett.wednet.edu
http://www.fcpages.com
http://www.fcpages.com
http://www.featech.com
http://www.fepese.ufsc.br
http://www.firstnightoceancounty.org
http://www.flashcorp.com
http://www.fleigutaetscher.ch
http://www.fludir.is
http://www.fludir.is
http://www.freeservers.com
http://www.FritoPie.NET
http://www.gamp.pl
http://www.gci-bln.de
http://www.gci-bln.de
http://www.gcnet.ru
http://www.generationnow.net
http://www.gfn.org
http://www.giantrevenue.com
http://www.glass.la
http://www.handsforhealth.com
http://www.hartacorporation.com
http://www.himpsi.org
http://www.idb-group.net
http://www.immonaut.sk
http://www.ims-i.com
http://www.innnewport.com
http://www.irakli.org
http://www.irinaswelt.de
http://www.jansenboiler.com
http://www.jasnet.pl
http://www.jhaforpresident.7p.com
http://www.jimvann.com
http://www.jldr.ca
http://www.justrepublicans.com
http://www.kencorbett.com
http://www.knicks.nl
http://www.kps4parents.com
http://www.kps4parents.com
http://www.kradtraining.de
http://www.kranenberg.de
http://www.lasermach.com
http://www.leonhendrix.com
http://www.magicbottle.com.tw
http://www.mass-i.kiev.ua
http://www.mepbisu.de
http://www.mepmh.de
http://www.metal.pl
http://www.mexis.com
http://www.mongolische-renner.de
http://www.mtfdesign.com
http://www.oboe-online.com
http://www.ohiolimo.com
http://www.onepositiveplace.org
http://www.oohlala-kirkland.com
http://www.orari.net
http://www.pankration.com
http://www.pe-sh.com
http://www.pfadfinder-leobersdorf.com
http://www.pipni.cz
http://www.polizeimotorrad.de
http://www.programmierung2000.de
http://www.pyrlandia-boogie.pl
http://www.raecoinc.com
http://www.realgps.com
http://www.redlightpictures.com
http://www.reliance-yachts.com
http://www.relocationflorida.com
http://www.rentalstation.com
http://www.rieraquadros.com.br
http://www.scanex-medical.fi
http://www.sea.bz.it
http://www.selu.edu
http://www.sigi.lu
http://www.sljinc.com
http://www.sljinc.com
http://www.smacgreetings.com
http://www.soloconsulting.com
http://www.spadochron.pl
http://www.srg-neuburg.de
http://www.ssmifc.ca
http://www.sugardas.lt
http://www.sunassetholdings.com
http://www.szantomierz.art.pl
http://www.szantomierz.art.pl
http://www.the-fabulous-lions.de
http://www.tivogoddess.com
http://www.tivogoddess.com
http://www.tkd2xcell.com
http://www.topko.sk
http://www.transportation.gov.bh
http://www.travelchronic.de
http://www.traverse.com
http://www.uhcc.com
http://www.ulpiano.org
http://www.uslungiarue.it
http://www.vandermost.de
http://www.vbw.info
http://www.velezcourtesymanagement.com
http://www.velocityprint.com
http://www.vikingpc.pl
http://www.vinirforge.com
http://www.wecompete.com
http://www.worest.com.ar
http://www.woundedshepherds.com
http://www.wwwebad.com
http://www.wwwebad.com
http://www.wwwebad.com
http://www.wwwebmaster.com
Istruzioni per la rimozione automatica
Future Time ha rilasciato un cleaner gratuito per la rimozione delle varianti AY e AX di Bagle. Il cleaner puo essere prelevato cliccando sul seguente indirizzo
http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleAX
Istruzioni per la rimozione manuale
Per rimuovere il worm manualmente:
1) Sui sistemi Windows XP e Millenium, disattivare il Ripristino Configurazione di Sistema
2) Riavviare il sistema operativo in modalita provvisoria
3) Nella cartella di sistema di Windows, cancellare i seguenti file
sysformat.exe
sysformat.exeopen
sysformat.exeopenopen
4) Eseguire l’editor del Registro (tipicamente Regedit) quindi cancellare il valore "Sysformat" dalla chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
5) Riavviare il sistema in modalita normale, nel caso in cui sia stato fatto partire in modalita provvisoria, quindi riattivare il Ripristino Configurazione di Sistema sui sistemi Windows XP e Millenium.