FAQ
F.A.Q.
Domande - Risposte
Bagle.AI
Internet Provider
Software
Home Page
Internet Provider
Mail Marketing
mail marketing
Preventivi
preventivi Internet
Supporto
supporto tecnico
Sms Web
sms da web
Download
download
Corsi Aziendali
corsi
Lavoro
lavoro
Pagamenti
pagamenti
Condizioni
Internet Provider
 
FAQ
faq
News
news
Applicativi asp
Motomania

Bagle.AI

Si tratta di una nuova variante della famiglia di Internet worm Bagle che si diffonde come allegato infetto a delle e-mail. L’allegato arriva in forma di archivio ZIP contenente due file price.html e price.exe. Quando viene aperto il file price.html in Internet Explorer il file price.exe, contenente il worm, viene eseguito sul sistema.

Dettagli tecnici

Il file price.exe e un file eseguibile con formato a 32-bit Portable Executable per Windows. Il file e lungo 14848 byte. Una volta eseguito, il file copia se stesso nella cartella di sistema di Windows usando il nome WINDirect.exe, quindi modifica il registro di sistema allo scopo di venire eseguito in automatico ad ogni avvio di Windows. Il valore

win32_upd2.exe=%SysDir%\WINDirect.exe

viene scritto nelle seguenti chiavi

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Nella cartella di sistema di Windows il worm crea un altro file eseguibile, lungo 11776 byte, con il nome _dll.exe. Questo file viene iniettato come nuovo thread all’interno del processo del programma explorer.exe e ha il compito di terminare i seguenti processi

ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
sys_xp.exe
sysxp.exe
winxp.exe

Il programma contiene una lista di 204 indirizzi dai quali tenta di prelevare un altro file, per poi salvarlo con il nome "~.exe" nella cartella predefinita di Windows e quindi eseguirlo.
La dimensione di questo file e di circa 19 KB. Il file copia se stesso nel percorso %SysDir%/windll.exe. Nella stessa cartella, vengono creati altri due file "windll.exeopen" e "windll.exeopenopen".

Per individuare gli indirizzi ai quali inviare se stesso attraverso un proprio motore SMTP, il worm effettua una ricerca all’interno dei file che hanno le seguenti estensioni:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Il programma contiene una lista di stringhe che confronta con gli indirizzi trovati, evitando di inviare delle e-mail infette a tutti gli indirizzi che contengono una delle seguenti stringhe di testo:

@avp.
@derewrdgrs
@eerswqe
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

L’oggetto dei messaggi infetti e vuoto. Il corpo del messaggio contiene le parole "price" o "new price".

In allegato viene inserito un archivio ZIP infetto, il cui nome e selezionato dalla seguente lista:

08_price
new_price
new__price
newprice
price
price2
price_08
price_new

Il worm e anche in grado di diffondersi in reti P2P, dal momento che crea delle copie di se stesso in tutte le cartelle che contengono la stringa “shar”. I nomi dei file infetti sono selezionati dalla seguente lista:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
KAV 5.0
Kaspersky Antivirus 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Il worm preleva via Internet anche un altro file, lungo 2052 byte. Quando viene seguito per la prima volta, il programma si collega all’indirizzo http://www.die-cliquee.de/get.php, dal quale preleva eventuali altri file salvandoli nella cartella predefinita di Windows con nomi scelti in modo casuale e quindi li esegue. Questo indirizzo potrebbe essere usato anche per sole notifiche, per comunicare all’autore del worm l’infezione di un dato sistema. Il file eseguibile si mette in ascolto sulla porta TCP 12345, ma chiude le connessioni in entrata dopo un breve intervallo di tempo.


faq Indietro

 
Home | Chi Siamo | Contatti | Internet Provider | Software House | Active Web | Web Marketing | SMS | Realizzazioni | Preventivi | Supporto | Lavoro | Condizioni
RD Informatica - Str. Rupola 14 - 61122 Pesaro PU - Tel 0721 206238 Fax 0721 1835042 P.Iva 01241970415 - info@rdinformatica.com 
Estrattore Pagine Gialle
Applicativi asp
RD
Applicativi asp
Internet provider
Software House
Applicativi asp
SMS Web
Software SMS
Mailing Project