Discussione: W32.Netsky e W.32.Bagle thread
View Single Post
Old 19-02-2004, 14:47   #2
eraser
Senior Member
 
L'Avatar di eraser
 
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
W32.Bagle.B

Quote:
Si tratta di una nuova variante del worm Bagle.A, che si diffonde attraverso l’invio di messaggi infetti aventi in allegato una copia del worm (diffusione attraverso mass mailing).
Il worm è costituito da un file a 32 bit per Windows in formato Portable Executable. La lunghezza del file eseguibile è di 11264 byte. Il file è compresso con il programma UPX.

I messaggi infetti si presentano nel modo seguente:

Mittente: <caratteri casuali>@<dominio falsificato>

Oggetto: ID <caratteri casuali>…thanks

Testo messaggio:

Yours ID < caratteri casuali>
--
Thank

Allegato: <caratteri casuali>.exe

L’allegato presenta l’icona che di norma è associata ai file musicali con formato .WAV.

Dettagli tecnici

Il worm non sfrutta alcuna vulnerabilità di sistema e per poterlo attivare l’utente deve eseguire in modo esplicito l’allegato infetto.

Quando viene eseguito, allo scopo di ingannare l’utente il worm lancia l’applicazione di Windows per la registrazione dei suoni: sndrec32.exe. Quindi copia se stesso nella cartella di sistema di Windows usando il nome “au.exe” e modifica il Registro di sistema in modo tale da assicurare l’esecuzione automatica del file infetto ogni volta che viene avviato il sistema operativo

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
au.exe = %SysDir%\au.exe

dove %SysDir% rappresenta in modo simbolico il percorso della cartella di sistema di Windows.

Il worm crea nel Registro anche i seguenti valori

HKCU\SOFTWARE\Windows2000\gid
HKCU\SOFTWARE\Windows2000\frn

Per diffondersi, il worm usa un proprio motore SMTP (Simple Mail Transfer Protocol). Gli indirizzi di posta elettronica ai quali inviare se stesso vengono trovati consultando il contenuto dei file che hanno le seguenti estensioni:

.htm
.html
.txt
.wab

Il worm evita di inviare se stesso a tutti gli indirizzi che contengono le seguenti stringhe di testo:

.r1u
@hotmail.com
@msn.com
@microsoft
@avp

Il worm si mette in ascolto sulla porta TCP 8866 (funzioni di backdoor) e invia richieste HTTP GET ai seguenti siti web

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
Tools di rimozione
Nod32 removal tool
Symantec removal tool
F-Secure removal tool
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::
eraser è offline   Rispondi citando il messaggio o parte di esso