27 stycznia 2005

UWAGA! Email-Worm.Win32.Bagle.ay

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci wymiany plików oraz przy użyciu udostępnionych zasobów sieciowych. Ma postać pliku PE EXE o rozmiarze około 19 KB (kompresja PEX, rozmiar po rozpakowaniu - około 69 KB.

Robak tworzy w pamięci unikatowy identyfikator MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D. Zapewnia to możliwość uruchomienia tylko jednej kopii szkodnika w danej chwili.

Szkodnik usuwa wartość My AV z następujących kluczy rejestru:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Instalacja

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.

Szkodnik kopiuje się do foldera \Windows\System z następującymi nazwami:

sysformat.exe
sysformat.exeopen
sysformat.exeopenopen

Dla kopii sysformat.exe w rejestrze systemowym tworzony jest klucz auto-run, co zapewnia robakowi uruchamianie wraz z każdym startem systemu operacyjnego:

[\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Szkodnik działa także jako Trojan downloader - pobiera z określonych adresów URL plik error.jpg i zapisuje go w folderze \Windows\System z nazwą re_file.exe.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wsh
.xls
.xml
.wab

Szkodnik nie wysyła własnych kopii pod adresy zawierające następujące teksty:

@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@.
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

W celu wysyłania wiadomości robak wykorzystuje własny silnik SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    Delivery service mail 
    Delivery by mail 
    Is delivered mail 
    Registration is accepted 
    You are made active
    
  • Treść (wybierana z poniższych możliwości):
    Before use read the help
    Thanks for use of our software
    
  • Nazwa załącznika (wybierana z poniższych możliwości):
    guupd02
    Jol03
    siupd02
    upd02
    viupd02
    zupd02
    wsd01
    

Rozprzestrzenianie - sieci P2P oraz udostępnione zasoby sieciowe

Robak szuka folderów, których nazwy zawierają słowo shar i umieszcza w nich własne kopie z poniższymi nazwami:

1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Informacje dodatkowe

Bagle.ay zamyka następujące procesy programów antywirusowych, zapór ogniowych oraz innych aplikacji zabezpieczających:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe