10 sierpnia 2004

UWAGA! I-Worm.Bagle.al

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P. Szkodnik powstał przy użyciu języka programowania Assembler i został spakowany za pomocą narzędzia Winzip.

Bagle.al składa się z dwóch komponentów:

  1. Pliku ZIP załączonego do zainfekowanej wiadomości e-mail;
  2. Właściwego kodu robaka pobieranego ze stron WWW.

Plik ZIP zawiera program o rozmiarze 5 932 bajtów, który pobiera kod szkodnika z internetu. Program ten składa się z dwóch plików:

  • price.html
  • priceprice.exe

Plik price.html zawiera skrypt exploit.CodeBaseExec, który automatycznie uruchamia plik price.exe.

Price.exe zawiera konia trojańskiego o rozmiarze 14 848 bajtów, który pobiera z internetu właściwy kod robaka i instaluje go w systemie. Po uruchomieniu trojan kopiuje się do foldera WindowsSystem z nazwą windirect.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"win_upd2.exe"="%system%windirect.exe"

Następnie szkodnik wypakowuje do foldera Windows moduł pobierający (plik dll.exe o rozmiarze 11 776 bajtów) i uruchamia go. Moduł ten zatrzymuje następujące procesy:

  • ATUPDATER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • FIREWALL.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • SYS_XP.EXE
  • SYSXP.EXE
  • UPDATE.EXE
  • WINZIP.EXE

Na koniec trojan pobiera właściwy kod robaka z internetu i uruchamia go.

Główny kod robaka

Bagle.al bazuje na kodzie źródłowym robaka Bagle.aa, a jego rozmiar to 19 460 bajtów.

Po uruchomieniu szkodnik kopiuje się do foldera WindowsSystem z nazwą windll.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKCUSOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"erthgdr"="%system%windll.exe"

Ponadto Bagle.al tworzy w folderze WindowsSystem dwa dodatkowe pliki: windll.exeopen oraz windll.exeopenopen.

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • CGI
  • DBX
  • DHTM
  • EML
  • HTM
  • JSP
  • MBX
  • MDX
  • MHT
  • MMF
  • MSG
  • NCH
  • ODS
  • OFT
  • PHP
  • PL
  • SHT
  • SHTM
  • STM
  • TBB
  • TXT
  • UIN
  • WAB
  • WSH
  • XLS
  • XML

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat: brak

  • Treść:
    new price
    price

    Wiadomość posiada format HTML.

  • Nazwa załącznika (wybierana spośród poniższych możliwości):

    • 08_price.zip
    • new__price.zip
    • new_price.zip
    • newprice.zip
    • price.zip
    • price_08.zip
    • price_new.zip
    • price2.zip

Bagle.al może rozprzestrzeniać się jako zabezpieczone hasłem archiwum ZIP. Wówczas hasło znajduje się w treści wiadomości w postaci tekstu lub obrazka.

Szkodnik nie wysyła zainfekowanych wiadomości e-mail pod adresy zawierające jeden z poniższych tekstów:

  • @avp.
  • @derewrdgrs
  • @eerswqe
  • @foo
  • @iana
  • @messagelab
  • @microsoft
  • abuse
  • admin
  • anyone@
  • bsd
  • bugs@
  • cafee
  • certific
  • contract@
  • feste
  • free-av
  • f-secur
  • gold-certs@
  • google
  • help@
  • icrosoft
  • info@
  • kasp
  • linux
  • listserv
  • local
  • news
  • nobody@
  • noone@
  • noreply
  • ntivi
  • panda
  • pgp
  • postmaster@
  • rating@
  • root@
  • samples
  • sopho
  • spam
  • support
  • unix
  • update
  • winrar
  • winzip

Rozprzestrzenianie - sieci P2P

Robak umieszcza swoje kopie w folderach, których nazwy zawierają tekst shar:

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Kaspersky Antivirus 5.0
  • KAV 5.0
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

Zdalne zarządzanie

Bagle.al otwiera port 80 lokalnego serwera HTTP. Pozwala to hakerowi na zdalne uruchamianie plików na zainfekowanym komputerze.

Informacje dodatkowe

Główny składnik robaka działa do 10 sierpnia 2004.