FAQ
F.A.Q.
Domande - Risposte
Bagle.AX
Internet Provider
Software
Home Page
Internet Provider
Mail Marketing
mail marketing
Preventivi
preventivi Internet
Supporto
supporto tecnico
Sms Web
sms da web
Download
download
Corsi Aziendali
corsi
Lavoro
lavoro
Pagamenti
pagamenti
Condizioni
Internet Provider
 
FAQ
faq
News
news
Applicativi asp
Motomania

Bagle.AX

Il worm e conosciuto anche sotto i seguenti nomi:

Email-Worm.Win32.Bagle.ax, W32/Bagle-AY, W32/Bagle.bk@MM, W32.Beagle.AZ@mm, WORM_BAGLE.AZ, Win32.Bagle.AU

Si tratta di una nuova variante della famiglia di worm Bagle, che presenta le seguenti caratteristiche:

- si diffonde attraverso posta elettronica usando un proprio motore SMTP
- colleziona gli indirizzi e-mail ai quali inviare se stesso effettuando una ricerca all’interno di file presenti sul computer infetto
- l’indirizzo del mittente (campo From:) e fittizio e non corrisponde a quello del mittente reale
- contiene un componente che ha lo scopo di notificare l’avvenuta infezione di un computer all’autore del worm
- nel tentativo di diffondersi attraverso reti peer-to-peer (P2P) copia se stesso nella cartelle che contengono la parola “shar”

Dettagli tecnici

Diffusione via e-mail

I messaggi infetti si presentano nel modo seguente:

Mittente : indirizzo falsificato

Oggetto: una delle frasi elencate

Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active

Messaggio: uno dei seguenti

Thanks for use of our software.
Before use read the help

Allegato: puo essere uno dei seguenti, con estensione .exe, .scr., .com o .cpl

wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03

I messaggi infetti vengono inviati attraverso un proprio motore SMTP (Simple Mail Transfer Protocol). Gli indirizzi e-mail ai quali inviare copie di se stesso vengono recuperati dall’interno di file presenti sul sistema infetto. A tale scopo, il worm effettua una ricerca in tutti i file che possiedono le seguenti estensioni

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Il worm evita di inviare se stesso a tutti gli indirizzi e-mail che contengono le seguenti stringhe di testo:

@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows usando il nome sysformat.exe. Ad esempio:

C:\WINDOWS\SYSTEM32\sysformat.exe

Nella stessa cartella, crea altri due file:

sysformat.exeopen
sysformat.exeopenopen

Allo scopo di essere eseguito in automatico ad ogni avvio del sistema operativo, il worm aggiunge la seguente chiave di Registro

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
" sysformat" = %system%\sysformat.exe

dove la variabile simbolica %system% rappresenta il percorso predefinito della cartella di sistema di Windows.

Il worm crea anche le seguenti chiavi

HKEY_CURRENT_USER\Software\Microsoft\Params
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager

Sempre dal Registro, il worm cancella i valori

"My AV"
" ICQ Net"

dalle seguenti chiavi, se presenti sul sistema infettato

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Il worm crea un mutex (mutual exclusion, un oggetto di sistema di Windows usato per la sincronia dei thread di programma) per assicurarsi che in memoria sia presente una sola istanza di se stesso.

Uno dei seguenti nomi di mutex viene usato dal worm nel tentativo di impedire o bloccare l’infezione di alcune varianti della famiglia di worm Netsky, eventualmente presenti sul sistema:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Il worm tenta di terminare i processi di numerosi programmi di sicurezza, il cui nome e elencato nella lista seguente

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

Il worm apre una porta TCP, il cui numero e scelto in modo casuale partendo da 2339.

Diffusione via P2P

Il worm crea i seguenti file in tutte le cartelle che contengono la parola “shar”:

1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Componente per l’accesso remoto (backdoor)

Il worm si mette in ascolto su un porta TCP scelta in modo casuale, in attesa di eventuali connessioni remote. Inoltre, tenta di notificare la propria installazione all’autore del worm contattando diversi siti web e richiedendo un file JPG (error.jpg) presente su tali siti

http://www.24-7-transportation.com
http://www.adhdtests.com
http://www.aegee.org
http://www.aimcenter.net
http://www.aimcenter.net
http://www.alupass.lu
http://www.amanit.ru
http://www.andara.com
http://www.angelartsanctuary.com
http://www.anthonyflanagan.com
http://www.approved1stmortgage.com
http://www.argontech.net
http://www.asianfestival.nl
http://www.atlantisteste.hpg.com.br
http://www.aviation-center.de
http://www.aviation-center.de
http://www.bbsh.org
http://www.bga-gsm.ru
http://www.boneheadmusic.com
http://www.boneheadmusic.com
http://www.bottombouncer.com
http://www.bradster.com
http://www.buddyboymusic.com
http://www.bueroservice-it.de
http://www.calderwoodinn.com
http://www.capri-frames.de
http://www.celula.com.mx
http://www.ceskyhosting.cz
http://www.chinasenfa.com
http://www.cntv.info
http://www.compsolutionstore.com
http://www.coolfreepages.com
http://www.corpsite.com
http://www.corpsite.com
http://www.couponcapital.net
http://www.cpc.adv.br
http://www.crystalrose.ca
http://www.cscliberec.cz
http://www.curtmarsh.com
http://www.customloyal.com
http://www.DarrkSydebaby.com
http://www.deadrobot.com
http://www.dontbeaweekendparent.com
http://www.dragcar.com
http://www.ecofotos.com.br
http://www.elenalazar.com
http://www.ellarouge.com.au
http://www.esperanzaparalafamilia.com
http://www.eurostavba.sk
http://www.everett.wednet.edu
http://www.fcpages.com
http://www.fcpages.com
http://www.featech.com
http://www.fepese.ufsc.br
http://www.firstnightoceancounty.org
http://www.flashcorp.com
http://www.fleigutaetscher.ch
http://www.fludir.is
http://www.fludir.is
http://www.freeservers.com
http://www.FritoPie.NET
http://www.gamp.pl
http://www.gci-bln.de
http://www.gci-bln.de
http://www.gcnet.ru
http://www.generationnow.net
http://www.gfn.org
http://www.giantrevenue.com
http://www.glass.la
http://www.handsforhealth.com
http://www.hartacorporation.com
http://www.himpsi.org
http://www.idb-group.net
http://www.immonaut.sk
http://www.ims-i.com
http://www.innnewport.com
http://www.irakli.org
http://www.irinaswelt.de
http://www.jansenboiler.com
http://www.jasnet.pl
http://www.jhaforpresident.7p.com
http://www.jimvann.com
http://www.jldr.ca
http://www.justrepublicans.com
http://www.kencorbett.com
http://www.knicks.nl
http://www.kps4parents.com
http://www.kps4parents.com
http://www.kradtraining.de
http://www.kranenberg.de
http://www.lasermach.com
http://www.leonhendrix.com
http://www.magicbottle.com.tw
http://www.mass-i.kiev.ua
http://www.mepbisu.de
http://www.mepmh.de
http://www.metal.pl
http://www.mexis.com
http://www.mongolische-renner.de
http://www.mtfdesign.com
http://www.oboe-online.com
http://www.ohiolimo.com
http://www.onepositiveplace.org
http://www.oohlala-kirkland.com
http://www.orari.net
http://www.pankration.com
http://www.pe-sh.com
http://www.pfadfinder-leobersdorf.com
http://www.pipni.cz
http://www.polizeimotorrad.de
http://www.programmierung2000.de
http://www.pyrlandia-boogie.pl
http://www.raecoinc.com
http://www.realgps.com
http://www.redlightpictures.com
http://www.reliance-yachts.com
http://www.relocationflorida.com
http://www.rentalstation.com
http://www.rieraquadros.com.br
http://www.scanex-medical.fi
http://www.sea.bz.it
http://www.selu.edu
http://www.sigi.lu
http://www.sljinc.com
http://www.sljinc.com
http://www.smacgreetings.com
http://www.soloconsulting.com
http://www.spadochron.pl
http://www.srg-neuburg.de
http://www.ssmifc.ca
http://www.sugardas.lt
http://www.sunassetholdings.com
http://www.szantomierz.art.pl
http://www.szantomierz.art.pl
http://www.the-fabulous-lions.de
http://www.tivogoddess.com
http://www.tivogoddess.com
http://www.tkd2xcell.com
http://www.topko.sk
http://www.transportation.gov.bh
http://www.travelchronic.de
http://www.traverse.com
http://www.uhcc.com
http://www.ulpiano.org
http://www.uslungiarue.it
http://www.vandermost.de
http://www.vbw.info
http://www.velezcourtesymanagement.com
http://www.velocityprint.com
http://www.vikingpc.pl
http://www.vinirforge.com
http://www.wecompete.com
http://www.worest.com.ar
http://www.woundedshepherds.com
http://www.wwwebad.com
http://www.wwwebad.com
http://www.wwwebad.com
http://www.wwwebmaster.com

Istruzioni per la rimozione automatica

Future Time ha rilasciato un cleaner gratuito per la rimozione delle varianti AY e AX di Bagle. Il cleaner puo essere prelevato cliccando sul seguente indirizzo

http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleAX

Istruzioni per la rimozione manuale

Per rimuovere il worm manualmente:

1) Sui sistemi Windows XP e Millenium, disattivare il Ripristino Configurazione di Sistema

2) Riavviare il sistema operativo in modalita provvisoria

3) Nella cartella di sistema di Windows, cancellare i seguenti file

sysformat.exe
sysformat.exeopen
sysformat.exeopenopen

4) Eseguire l’editor del Registro (tipicamente Regedit) quindi cancellare il valore "Sysformat" dalla chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

5) Riavviare il sistema in modalita normale, nel caso in cui sia stato fatto partire in modalita provvisoria, quindi riattivare il Ripristino Configurazione di Sistema sui sistemi Windows XP e Millenium.


faq Indietro

 
Home | Chi Siamo | Contatti | Internet Provider | Software House | Active Web | Web Marketing | SMS | Realizzazioni | Preventivi | Supporto | Lavoro | Condizioni
RD Informatica - Str. Rupola 14 - 61122 Pesaro PU - Tel 0721 206238 Fax 0721 1835042 P.Iva 01241970415 - info@rdinformatica.com 
Estrattore Pagine Gialle
Applicativi asp
RD
Applicativi asp
Internet provider
Software House
Applicativi asp
SMS Web
Software SMS
Mailing Project