Si tratta di una nuova variante del worm Bagle, che si diffonde attraverso l’invio di messaggi infetti aventi in allegato una copia del worm (diffusione attraverso mass mailing) e via reti Peer-to-Peer (P2P).
Il worm e costituito da un file a 32 bit per Windows in formato Portable Executable. La lunghezza del file eseguibile e di 19690 byte. Il file e compresso con il programma UPX.
Il worm cessa la sua attivita dopo il 25/04/2006 oppure trascorsi 20 giorni dalla prima installazione su un particolare computer.
Dettagli tecnici
Quando viene eseguito il file infetto, il worm tenta di terminare alcune applicazioni antivirus e firewall.
alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe
Quindi crea alcune copie di se stesso nella cartella di sistema di Windows usando i seguenti nomi:
wingo.exe
wingo.exeopen
wingo.exeopenopen
Per assicurarsi di essere eseguito automaticamente all’avvio del sistema, aggiunge alla chiave di registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
il seguente valore:
"wingo"="%system%\wingo.exe"
Dove la variabile simbolica %system% rappresenta il percorso della cartella di sistema di Windows.
Per diffondersi tramite reti P2P il worm cerca le cartelle che contengono la stringa di testo 'shar' nel loro nome e all’interno di queste crea delle copie di se stesso usando i seguenti nomi:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Per diffondersi via posta elettronica il worm ricerca indirizzi e-mail all’interno di file che presentano le seguenti estensioni:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
Il worm evita di inviare se stesso a tutti gli indirizzi che contengono le seguenti stringhe
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
Per inviare stesso agli indirizzi e-mail trovati, il worm usa un proprio motore SMTP (Simple Mail Transfer Protocol).
Il messaggio si presenta nel modo seguente
Oggetto: scelto tra i seguenti
Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi
Messaggio: selezionato tra le stringhe che seguono
:)
:))
Nome allegato: selezionato tra le seguenti stringhe
Price
price
Joke
L’estensione dell’allegato infetto puo essere:
.exe
.scr
.com
.cpl
Il worm usa diversi tipi di icona per indurre l’utente ad eseguire l’allegato infetto. Nel proprio codice contiene una lista di indirizzi da cui tenta di scaricare ed eseguire un file. Al momento, tali indirizzi non sono piu attivi. Il worm presenta anche funzioni di backdoor, mettendosi in ascolto sulla porta TCP 81 e su una porta UDP casuale, avente un numero superiore a 1024.
Stampa 
