W32.Netsky e W.32.Bagle thread

[eraser]

Sono in rapida diffusione questi due nuovi virus. Di seguito l'analisi effettuata dalla eset e i tool di rimozione:

W32.NetSky.B

Quote:

Si tratta di un worm che si diffonde attraverso e-mail che hanno in allegato un file infetto e tramite reti Peer-to-Peer (P2P).
Il worm è costituito da un file a 32 bit per Windows con formato Portable Executable. La sua dimensione è di 22106 byte. Il worm è compresso con il programma UPX. Dopo la sua decompressione la dimensione del file infetto ammonta a 41984 byte.

Quando viene eseguito, il worm crea un mutex con il nome “AdmSkynetJklS003” allo scopo di garantire la presenza in memoria di una sola istanza di se stesso. Se il worm viene seguito senza alcun parametro su linea di comando, mostra una finestra di dialogo con un falso messaggio di errore

“The file could not be opened”!

Quindi copia se stesso nella cartella predefinita di Windows usando il nome services.exe e modifica il Registro di sistema in modo tale da assicurare l’esecuzione automatica di se stesso ad ogni avvio di Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
service = %windir%\services.exe –serv

dove la variabile %windir% rappresenta simbolicamente il percorso della cartella Windows.

Quando viene eseguito con il parametro –serv il worm non mostra alcun messaggio sullo schermo.

Il worm rimuove le seguenti chiavi da Registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system

Il worm effettua una ricerca su tutti i drive locali per individuare delle cartelle che hanno il nome share e sharing . Quando trova tali cartelle il worm vi copia se stesso numerose volte, usando i seguenti nomi

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif

Il worm si diffonde in reti P2P usando questo meccanismo.

Per trovare gli indirizzi di posta elettronica ai quali inviare se stesso, il worm effettua una ricerca all’interno di file che hanno le seguenti estensioni:

.eml
.txt
.php
.pl
.htm
.html
.vbs
.rtf
.uin
.asp
.wab
.doc
.adb
.tbb
.dbx
.sht
.oft
.msg

Il messaggi infetti si presentano nel modo seguente:


L’oggetto e’ scelto tra le parole:

hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Il testo del messaggio contiene una delle seguenti parole:

anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Il file allegato all’e-mail ha una doppia estensione. La prima è scelta tra

.txt
.doc
.rtf

mentre la seconda può essere:

.exe
.scr
.com
.pif

Alcuni dei messaggi infetti possono presentare un file ZIP dove è contenuto il file infetto del worm.

Tools di rimozione:
Nod32 removal tool
Symantec removal tool
Sophos removal tool

[eraser]

W32.Bagle.B

Quote:

Si tratta di una nuova variante del worm Bagle.A, che si diffonde attraverso l’invio di messaggi infetti aventi in allegato una copia del worm (diffusione attraverso mass mailing).
Il worm è costituito da un file a 32 bit per Windows in formato Portable Executable. La lunghezza del file eseguibile è di 11264 byte. Il file è compresso con il programma UPX.

I messaggi infetti si presentano nel modo seguente:

Mittente: <caratteri casuali>@<dominio falsificato>

Oggetto: ID <caratteri casuali>…thanks

Testo messaggio:

Yours ID < caratteri casuali>
--
Thank

Allegato: <caratteri casuali>.exe

L’allegato presenta l’icona che di norma è associata ai file musicali con formato .WAV.

Dettagli tecnici

Il worm non sfrutta alcuna vulnerabilità di sistema e per poterlo attivare l’utente deve eseguire in modo esplicito l’allegato infetto.

Quando viene eseguito, allo scopo di ingannare l’utente il worm lancia l’applicazione di Windows per la registrazione dei suoni: sndrec32.exe. Quindi copia se stesso nella cartella di sistema di Windows usando il nome “au.exe” e modifica il Registro di sistema in modo tale da assicurare l’esecuzione automatica del file infetto ogni volta che viene avviato il sistema operativo

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
au.exe = %SysDir%\au.exe

dove %SysDir% rappresenta in modo simbolico il percorso della cartella di sistema di Windows.

Il worm crea nel Registro anche i seguenti valori

HKCU\SOFTWARE\Windows2000\gid
HKCU\SOFTWARE\Windows2000\frn

Per diffondersi, il worm usa un proprio motore SMTP (Simple Mail Transfer Protocol). Gli indirizzi di posta elettronica ai quali inviare se stesso vengono trovati consultando il contenuto dei file che hanno le seguenti estensioni:

.htm
.html
.txt
.wab

Il worm evita di inviare se stesso a tutti gli indirizzi che contengono le seguenti stringhe di testo:

.r1u
@hotmail.com
@msn.com
@microsoft
@avp

Il worm si mette in ascolto sulla porta TCP 8866 (funzioni di backdoor) e invia richieste HTTP GET ai seguenti siti web

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php

Tools di rimozione
Nod32 removal tool
Symantec removal tool
F-Secure removal tool

[MrOZ]

Ed i tool di rimozione degli Hwinit Labs dove sono??? ... nn li vedo

[eraser]

e non c'ho tempo de fa tutto io 1 sono

[rig1]

Ciao, da ieri ricevo mail di ritorno che mi accusano di aver inviato allegati infettati da w32.skynet.b! Ho panda antivirus aggiornato giornalmente e dopo la scansione non mi ha rilevato nulla... Ho anche scaricato il tool di rimozione sia di Panda che di symantec ma niente da fare...
Cosa ne pensate?
Eppure ho anche ricevuto mail con allegati sospetti (something for you) che ho subito cancellato e se vado a vedere nei processi ho un services.exe in esecuzione!
Aiutatemi vi prego!

[Qnick]

E' da qualche giorno che continuo a ricevere e-mail con questo bel virus in allegato, tra l'altro oggi me l'ha mandato Nomatica

Prestate attenzione poichè, ad esempio, il controllo antivirus di Hotmail (per chi controllasse la posta via web) non lo riconosce!

Norton Antivirus non ha problemi e lo intercetta tranquillamente, eliminandolo

[antonio338]

Quote:

Originariamente inviato da rig1
Ciao, da ieri ricevo mail di ritorno che mi accusano di aver inviato allegati infettati da w32.skynet.b! Ho panda antivirus aggiornato giornalmente e dopo la scansione non mi ha rilevato nulla... Ho anche scaricato il tool di rimozione sia di Panda che di symantec ma niente da fare...
Cosa ne pensate?
Eppure ho anche ricevuto mail con allegati sospetti (something for you) che ho subito cancellato e se vado a vedere nei processi ho un services.exe in esecuzione!
Aiutatemi vi prego!

fai una ricerca nel sistema usando cerca: se services.exe è nella cartella di windows sei probabilente infetto, se è in windows\system32 è normale (è un file che fa parte di win)

[ertortuga]

Anche a me qualche giorno fa è arrivata una mail del genere, NOD l'ha beccata...

[ertortuga]

Oggi mi arrivata una mail di risposta da Vivacity.it che mi avvertiva del fatto che una mail, da me spedita ad un certo massimoxxx@vivacity.it era stata cancellata perchè infetta.
Ho scaricato il cleaner da NOD ma non ha trovato nulla e neanche services.exe "sparsi" nel mio hhd (tranne quello di win, in Winsdows/system32...)

[rig1]

Quote:

Originariamente inviato da ertortuga
Oggi mi arrivata una mail di risposta da Vivacity.it che mi avvertiva del fatto che una mail, da me spedita ad un certo massimoxxx@vivacity.it era stata cancellata perchè infetta.
Ho scaricato il cleaner da NOD ma non ha trovato nulla e neanche services.exe "sparsi" nel mio hhd (tranne quello di win, in Winsdows/system32...)

Quindi seconto te sono mail inventate? Anch'io ho avuto lo stesso problema...

[ertortuga]

CREDO sia il worm che prende gli indirizzi dai pc infetti e invia mail con gli indirizzi che trova...per esempio ultimamente mi sono arrivate mail (con Sober.C) che erano destinate a mio fratello (che ha un indirizzo completamente diverso!)
Proprio ieri avevo fatto un scan con NOD oggi ho fatto un check con il cleaner e...NIENTE!
Non c'è traccia di Netsky...anche perchè nei giorni precedenti NOD li aveva individuati...
Io mi sento tranquillo anche perchè se fossi infetto avrei avuto e-amil di "protesta" da amici e altre strutture...

[rig1]

Non so più cosa pensare...
Ogni giorno ricevo un paio di mail di protesta a causa di un mio ipotetico invio di file infettati da virus... Il problema è che gli indirizzi in questione sono a me sconosciuti! Alcuni mi indicavano il nome del virus allegato: netskyb
Ho scaricato il tool da pandasoftware ma non ha trovato niente, il mio antivirus è aggiornato a ieri e non ha trovato nulla. Ho provato anche la scansione via internet e niente di nuovo!
Le mail di protesta però continuano (e continuano ad arrivare anche le mail con allegati infetti che ovviamente io cancello al volo...). Ora mi accusano di inviare un worm.somefool
Ho fatto alcune ricerche ma non ho trovato nulla di specifico a riguardo.... Cosa posso fare? Aiutatemi vi prego!!!

[rig1]

Quote:

Originariamente inviato da antonio338
fai una ricerca nel sistema usando cerca: se services.exe è nella cartella di windows sei probabilente infetto, se è in windows\system32 è normale (è un file che fa parte di win)

Ho controllato, è nella cartella winnt\system32 e anche in
winnt\servicepackfile\i386

[ScreamingFlower]

Quote:

Originariamente inviato da rig1
Ciao, da ieri ricevo mail di ritorno che mi accusano di aver inviato allegati infettati da w32.skynet.b!

Ma il virus non si chiama Netsky? E non Skynet, quella era la rete di controllo del film Terminator, se non mi sbaglio!
Comunque io oggi ho ricevuto anche la versione D di Netsky, l'AV me l'ha rilevato come "I-Worm/Netsky.D"

[ertortuga]

Quote:

Originariamente inviato da ScreamingFlower
Ma il virus non si chiama Netsky? E non Skynet, quella era la rete di controllo del film Terminator, se non mi sbaglio!
Comunque io oggi ho ricevuto anche la versione D di Netsky, l'AV me l'ha rilevato come "I-Worm/Netsky.D"

Ora cominciano a girare anche le "varianti"...

[ScreamingFlower]

Sì, la nuovissima variante D è riportata anche sul sito di Trendmicro, non ho controllato anche su altri ma immagino sia molto recente, forse ho avuto l'anteprima italiana oggi!

[ScreamingFlower]

Scusate il doppio post, volevo allegare il risultato del test ma non ci sono riuscita...

[ertortuga]

La mailing list di F-Secure diffonde il virus Netsky-B:

La mailing list di F-Secure UK ha veicolato il virus Netsky-B a tutti gli iscritti, alla base un probabile errore umano.

La causa del misfatto è da imputare ad un server americano rivelatosi infetto, tale macchina è usata da F-Secure per l'invio della propria mailing list rivolta ad utenti ed addetti ai lavori.
F-secure si è ovviamente scusata per l'increscioso accadimento e assicura che la propria rete di server è stata controllata e non risulta infetta.

Quanto accaduto a F-secure, leader in soluzioni antivirus, è quantomai imbarazzante e ripropone un fatto simile accaduto a KasperskyLab l'anno scorso.

[rig1]

si, ma io non ero iscritto alla mailing list! E le mail di protesta continuano ad arrivare.... L'ultima mi accusava di aver inviato un allegato infettato dal worm somefool petite!

[canturio]

Oggi ho ricevuto anch'io due mail che mi dicevano di avere spedito un messaggio infetto dal virus W32.Netsky.D@mm, però ho scaricato il programma della Symantec per rilevare tale virus e, a fine scansione, nessun file risultava infetto. Ho controllato anche il file services.exe, ed è presente solo in windows/system32.
Gli indirizzi a cui avrei inviato le mail non li conosco, era la prima volta che li vedevo.