Bagle torna a colpire

Bagle torna a colpire

Si rifà vivo il worm Bagle, con una delle sue varianti che sta facendo preoccupare migliaia di utenti

di Marco Giuliani pubblicata il , alle 16:30 nel canale Sicurezza
 

Dopo un periodo di relativa tranquillità torna a colpire uno dei tre worm protagonisti di questo 2004.

A distanza di poche ore sono state isolate tre varianti del noto Bagle, una delle quali si sta diffondendo molto rapidamente.

Bagle.AT (conosciuto anche come W32.Beagle.AV e Bagle.bb) ha costretto molte società di antivirus ad innalzare il livello di allerta a giallo, alcune addirittura a rosso.

I paesi più colpiti secondo TrendMicro sembrano essere il Giappone, la Cina, la Svezia, Taiwan, l'Italia e la Germania.

Il worm, come di consueto, si presenta con un'e-mail simile:

Da: (indirizzo falso)

Oggetto: (uno dei seguenti)
Re Hello
Re Hi
Re Thank you!
Re Thanks :)

Corpo del messaggio :
:))

Allegato: (uno dei seguenti)
PRICE
JOKE
(con una delle seguenti estensioni)
COM
CPL
EXE
SCR

Il worm cerca di collezionare tutti gli indirizzi e-mail presenti nel computer infetto scansionando i files con estensione

  • ADB
  • ASP
  • CFG
  • CGI
  • DBX
  • DHTM
  • EML
  • HTM
  • JSP
  • MBX
  • MDX
  • MHT
  • MMF
  • MSG
  • NCH
  • ODS
  • OFT
  • PHP
  • PL
  • SHT
  • SHTM
  • STM
  • TBB
  • TXT
  • UIN
  • WAB
  • WSH
  • XLS
  • XML

e ignora gli indirizzi che contengono una di queste stringhe:

  • avp.
  • hotmail
  • iana
  • messagelab
  • microsoft
  • buse
  • dmin
  • nyone@
  • ugs@
  • afee
  • ertific
  • ontract@
  • este
  • ree-av
  • -secur
  • old-certs@
  • oogle
  • elp@
  • crosoft
  • nfo@
  • inux
  • istserv
  • ocal
  • obody@
  • oone@
  • oreply
  • tivi
  • anda
  • ostmaster@
  • ating@
  • oot@
  • amples
  • opho
  • upport
  • pdate
  • inrar
  • inzip

Una volta eseguito il worm si copia all'interno della directory di sistema di Windows come

  • WINGO.EXE
  • WINGO.EXEOPEN
  • WINGO.EXEOPENOPEN

e nel registro di sistema aggiunge la voce

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
wingo = “%System%\wingo.exe”

Una volta attivo il worm cerca tutte le cartelle che contengono la stringa SHAR e si copia all'interno con i seguenti nomi:

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Kaspersky Antivirus 5.0
  • KAV 5.0
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

Cerca poi di terminare i seguenti processi:

 

  • ALOGSERV.EXE
  • APVXDWIN.EXE
  • ATUPDATER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVCONSOL.EXE
  • AVENGINE.EXE
  • AVPUPD.EXE
  • AVSYNMGR.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • AVXQUAR.EXE
  • BAWINDO.EXE (usato dal worm Bagle.AM)
  • BLACKD.EXE
  • CCAPP.EXE
  • CCEVTMGR.EXE
  • CCPROXY.EXE
  • CCPXYSVC.EXE
  • CFIAUDIT.EXE
  • DEFWATCH.EXE
  • DRWEBUPW.EXE
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • FIREWALL.EXE
  • FRAMEWORKSERVICE.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • LUCOMS~1.EXE
  • MCAGENT.EXE
  • MCSHIELD.EXE
  • MCUPDATE.EXE
  • MCVSESCN.EXE
  • MCVSRTE.EXE
  • MCVSSHLD.EXE
  • NAVAPSVC.EXE
  • NAVAPSVC.EXE
  • NAVAPSVC.EXE
  • NAVAPW32.EXE
  • NISUM.EXE
  • NOPDB.EXE
  • NPROTECT.EXE
  • NPROTECT.EXE
  • NUPGRADE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • PAVFIRES.EXE
  • PAVPROXY.EXE
  • PAVSRV50.EXE
  • RTVSCAN.EXE
  • RULAUNCH.EXE
  • SAVSCAN.EXE
  • SHSTAT.EXE
  • SNDSRVC.EXE
  • SYMLCSVC.EXE
  • UPDATE.EXE
  • UPDATERUI.EXE
  • VSHWIN32.EXE
  • VSSTAT.EXE
  • VSTSKMGR.EXE

Di seguito tenta di scaricare dai seguenti siti una immagine che salverà all'interno della directory di sistema come re_file.exe

  • www.bottombouncer.com
  • www.bottombouncer.com
  • www.anthonyflanagan.com
  • www.bradster.com
  • www.traverse.com
  • www.ims-i.com
  • www.realgps.com
  • www.aviation-center.de
  • www.gci-bln.de
  • www.pankration.com
  • www.jansenboiler.com
  • www.corpsite.com
  • www.everett.wednet.edu
  • www.onepositiveplace.org
  • www.raecoinc.com
  • www.wwwebad.com
  • www.corpsite.com
  • www.wwwebmaster.com
  • www.wwwebad.com
  • www.dragcar.com
  • www.wwwebad.com
  • www.oohlala-kirkland.com
  • www.calderwoodinn.com
  • www.buddyboymusic.com
  • www.smacgreetings.com
  • www.tkd2xcell.com
  • www.curtmarsh.com
  • www.dontbeaweekendparent.com
  • www.soloconsulting.com
  • www.lasermach.com
  • www.generationnow.net
  • www.flashcorp.com
  • www.kencorbett.com
  • www.FritoPie.NET
  • www.leonhendrix.com
  • www.transportation.gov.bh
  • www.transportation.gov.bh
  • www.jhaforpresident.7p.com
  • www.DarrkSydebaby.com
  • www.cntv.info
  • www.sugardas.lt
  • www.adhdtests.com
  • www.argontech.net
  • www.customloyal.com
  • www.ohiolimo.com
  • www.topko.sk
  • www.alupass.lu
  • www.sigi.lu
  • www.redlightpictures.com
  • www.irinaswelt.de
  • www.bueroservice-it.de
  • www.kranenberg.de
  • www.kranenberg.de
  • www.the-fabulous-lions.de
  • www.the-fabulous-lions.de
  • www.mongolische-renner.de
  • www.mongolische-renner.de
  • www.capri-frames.de
  • www.capri-frames.de
  • www.aimcenter.net
  • www.boneheadmusic.com
  • www.fludir.is
  • www.sljinc.com
  • www.tivogoddess.com
  • www.fcpages.com
  • www.andara.com
  • www.freeservers.com
  • www.programmierung2000.de
  • www.asianfestival.nl
  • www.aviation-center.de
  • www.gci-bln.de
  • www.mass-i.kiev.ua
  • www.jasnet.pl
  • www.atlantisteste.hpg.com.br
  • www.fludir.is
  • www.rieraquadros.com.br
  • www.metal.pl
  • www.handsforhealth.com
  • www.angelartsanctuary.com
  • www.firstnightoceancounty.org
  • www.chinasenfa.com
  • www.chinasenfa.com
  • www.ulpiano.org
  • www.gamp.pl
  • www.vikingpc.pl
  • www.woundedshepherds.com
  • www.cpc.adv.br
  • www.velocityprint.com
  • www.esperanzaparalafamilia.com
  • www.celula.com.mx
  • www.mexis.com
  • www.wecompete.com
  • www.vbw.info
  • www.gfn.org
  • www.aegee.org
  • www.deadrobot.com
  • www.cscliberec.cz
  • www.ecofotos.com.br
  • www.amanit.ru
  • www.bga-gsm.ru
  • www.innnewport.com
  • www.knicks.nl
  • www.srg-neuburg.de
  • www.mepmh.de
  • www.mepbisu.de
  • www.kradtraining.de
  • www.polizeimotorrad.de
  • www.sea.bz.it
  • www.uslungiarue.it
  • www.gcnet.ru
  • www.aimcenter.net
  • www.vandermost.de
  • www.vandermost.de
  • www.szantomierz.art.pl
  • www.immonaut.sk
  • www.eurostavba.sk
  • www.spadochron.pl
  • www.pyrlandia-boogie.pl
  • www.kps4parents.com
  • www.pipni.cz
  • www.selu.edu
  • www.travelchronic.de
  • www.fleigutaetscher.ch
  • www.irakli.org
  • www.oboe-online.com
  • www.oboe-online.com
  • www.pe-sh.com
  • www.idb-group.net
  • www.ceskyhosting.cz
  • www.ceskyhosting.cz
  • www.hartacorporation.com
  • www.glass.la
  • www.glass.la
  • www.24-7-transportation.com
  • www.fepese.ufsc.br
  • www.ellarouge.com.au
  • www.bbsh.org
  • www.boneheadmusic.com
  • www.sljinc.com
  • www.tivogoddess.com
  • www.fcpages.com
  • www.szantomierz.art.pl
  • www.elenalazar.com
  • www.ssmifc.ca
  • www.reliance-yachts.com
  • www.worest.com.ar
  • www.kps4parents.com
  • www.coolfreepages.com
  • www.scanex-medical.fi
  • www.jimvann.com
  • www.orari.net
  • www.himpsi.org
  • www.mtfdesign.com
  • www.jldr.ca
  • www.relocationflorida.com
  • www.rentalstation.com
  • www.approved1stmortgage.com
  • www.velezcourtesymanagement.com
  • www.sunassetholdings.com
  • www.compsolutionstore.com
  • www.uhcc.com
  • www.justrepublicans.com
  • www.pfadfinder-leobersdorf.com
  • www.featech.com
  • www.vinirforge.com
  • www.magicbottle.com.tw
  • www.giantrevenue.com
  • www.couponcapital.net
  • www.crystalrose.ca
  • www.crystalrose.ca
  • www.crystalrose.ca
  • www.crystalrose.ca

Tenta di disattivare i seguenti servizi:

  • "SharedAccess" - Internet Connection Sharing
  • "wscsvc" - Microsoft Security Center

Cancella dal registro di sistema tutte le voci che contengono le seguenti stringhe, molte delle quali utilizzate dal worm Netsky:

  • My AV
  • Zone Labs Client Ex
  • 9XHtProtect
  • Antivirus
  • Special Firewall Service
  • service
  • Tiny AV
  • ICQNet
  • HtProtect
  • NetDy
  • Jammer2nd
  • FirewallSvr
  • MsInfo
  • SysMonXP
  • EasyAV
  • PandaAVEngine
  • Norton Antivirus AV
  • KasperskyAVEng
  • SkynetsRevenge
  • ICQ Net

Infine il worm apre una backdoor sulla porta TCP 81. Per avere accesso al sistema c'è bisogno di una password e gli ip delle macchine infette vengono comunicate all'autore del worm attraverso l'accesso ad alcuni URL predefiniti.

Vista la rapidità di diffusione è consigliabile aggiornare immediatamente il proprio software antivirus.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

40 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Darkman29 Ottobre 2004, 16:45 #1


Praticamente non fa nulla e tende a farsi gli affari suoi....
Un virus tranquillo...
afterburner29 Ottobre 2004, 17:02 #2
Un caffettino lo fa? O, almeno, ce lo ordina su e-bay?
La butto in ridere per non piangere .. soliti discorsi ... ma dimmi chi apre ancora allegati con estensioni .exe o .com?!? La risposta purtroppo la so ...
mic129 Ottobre 2004, 17:03 #3

Cose da diventare matti

A me è arrivato intorno alle 13:00 di oggi.
Subito ho pensato ad un malfunzionamento del mail server poi ho capito che era un nuovo virus.
AVG non lo riconosce ancora.
Andiamo bene ......
JoJo29 Ottobre 2004, 17:10 #4
Praticamente fa, in pochi Kb (e meglio! ), le stesse cose che farebbe Windows... con svariati Mb di codice!
dothan29 Ottobre 2004, 17:23 #5
Originariamente inviato da JoJo
Praticamente fa, in pochi Kb (e meglio! ), le stesse cose che farebbe Windows... con svariati Mb di codice!

correggo:con centinaia Mb di codice
DevilsAdvocate29 Ottobre 2004, 17:23 #6
Scusate ma se hanno la lista dei siti.... possibile che non riescano a risalira all'autore? mi sembra assurdo visto che ormai per pubblicare anche un immagine in rete
devi avere un account che rimanda ai tuoi dati di connessione (cod. fiscale e quanto altro)....
A me la cosa puzza un po'.
Luxor8329 Ottobre 2004, 17:33 #7
a me puzza sempre di più...
ho il dubbio che siano anche le case produttrici di antivirus a metterne qualcuno ogni tanto in rete....per invogliare noi poveri utenti a comprare i loro antivirus.....
DioBrando29 Ottobre 2004, 17:42 #8
Non sapevo fosse conosciuto sia come Beagle che come Bagle...
ErPazzo7429 Ottobre 2004, 17:51 #9
beh va' detto che questo virus e' cazzuto mi e' arrivato a lavoro in varie forme prima di venir beccato da avast che solo alle 6 volta se ne e' accorto....ovvimaente ho aperto gli allegati ogni volta...e ora vi infettero' tutti .
gpc29 Ottobre 2004, 18:09 #10
Perchè c'è gente che continua ad aprire gli allegati come se niente fosse?! Perchè?! Perchè?!
Troppa gente ha accesso ad un computer...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^