Virus: Beagle torna all'attacco

Virus: Beagle torna all'attacco

Non c'è pace per gli utenti di internet. Reduci dagli ultimi attacchi di Mydoom, torna all'arrembaggio Beagle con la nuova variante AL

di pubblicata il , alle 19:44 nel canale Sicurezza
 

É senza ombra di dubbio l'anno del trio NetSky-Mydoom-Beagle. Ormai per due delle tre famiglie di worm sono state utilizzate tutte e 26 le lettere dell'alfabeto e si è iniziato con le doppie lettere.

É notizia di queste ore che è stata isolata una nuova variante del worm Beagle. Come al solito c'è un pò di confusione tra le società di antivirus su come denominare il worm. La variante è conosciuta come Bagle.AL, Beagle.AO, W32/Bagle.aq, WORM_BAGLE.AC, Win32.Bagle.AG.

Il worm è il classico mass mailing worm, cioè si manda automaticamente via e-mail utilizzando un motore SMTP proprio.

Bagle arriva come e-mail con l'indirizzo del mittente falso, oggetto della mail vuoto e come testo della e-mail 'New price'. L'allegato può essere uno dei seguenti:

08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price2.zip
price_08.zip
price_new.zip

Il file zip contiene una file exe con lo stesso nome dello zip e un file price.html. Una volta aperto il file html, il worm sfrutta la vulnerabilità Object Data di Internet Explorer per eseguire il file exe.
Una volta eseguito, si copia sotto la directory di sistema con il nome 'WINdirect.exe'e aggiunge sotto le chiavi di registro

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

la voce "win_upd.exe"="%System%\WINdirect.exe".

Crea il file _dll.exe sotto la directory di sistema di Windows e lo inserisce con la tecnica denominata 'File Injection' nel processo Explorer.exe, in modo tale da essere nascosto nel task manager.

Il worm nascosto cerca di terminare i seguenti processi:

ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
sys_xp.exe
sysxp.exe
winxp.exe

Inoltre tenta di scaricare dai seguenti siti un file jpg. In realtà il file contiene codice eseguibile e una volta scaricato viene rinominato in .exe.

134.102.228.45
196.12.49.27
213.188.129.72
64.62.172.118
abi-2004.org
advm1.gm.fh-koeln.de
alexey.pioneers.com.ru
alfinternational.ru
aus-Zeit.com
binn.ru
burn2k.ipupdater.com
carabi.ru
catalog.zelnet.ru
cavalierland.5u.com
celine.artics.ru
change.east.ru
colleen.ai.net
controltechniques.ru
dev.tikls.net
diablo.homelinux.com
dodgetheatre.com
dozenten.f1.fhtw-berlin.de
emnesty.w.interia.pl
emnezz.e-mania.pl
euroviolence.com
evadia.ru
fairy.dataforce.net
financial.washingtonpost.com
free.bestialityhost.com
gutemine.wu-wien.ac.at
herzog.cs.uni-magdeburg.de
home.profootball.ru
host.businessweek.com
host.wallstreetcity.com
host23.ipowerweb.com
hsr.zhp.org.pl
infokom.pl
kafka.punkt.pl
kooltokyo.ru
kypexin.ru
lars-s.privat.t-online.de
lottery.h11.ru
matzlinger.com
megion.ru
mmag.ru
molinero-berlin.de
momentum.ru
niebo.net
nominal.kaliningrad.ru
omegat.ru
ourcj.com
packages.debian.or.jp
pb195.slupsk.sdi.tpnet.pl
photo.gornet.ru
pixel.co.il
pocono.ru
polobeer.de
porno-mania.net
protek.ru
przeglad-tygodnik.pl
przeglad-tygodnik.pl
quotes.barchart.com
r2626r.de
rausis.latnet.lv
relay.great.ru
republika.pl
sacred.ru
sbuilder.ru
sec.polbox.pl
shadkhan.ru
silesianet.pl
silesianet.pl
slavarik.ru
sovea.de
spbbook.ru
strony.wp.pl
szm.sk
tarkosale.net
tdi-router.opola.pl
terramail.pl
thorpedo.us
traveldeals.sidestep.com
ultimate-best-hgh.0my.net
vip.pnet.pl
werel1.web-gratis.net
www.5100.ru
www.PlayGround.ru
www.aannemers-nederland.nl
www.abcdesign.ru
www.airnav.com
www.aktor.ru
www.ankil.ru
www.antykoncepcja.net
www.aphel.de
www.artics.ru
www.astoria-stuttgart.de
www.avant.ru
www.baltmatours.com
www.baltnet.ru
www.biratnagarmun.org.np
www.biysk.ru
www.boglen.com
www.bridesinrussia.com
www.busheron.ru
www.ccbootcamp.com
www.chat4adult.com
www.chelny.ru
www.ciachoo.pl
www.dami.com.pl
www.ddosers.net
www.dicto.ru
www.dilver.ru
www.dsmedia.ru
www.dynex.ru
www.elemental.ru
www.elit-line.ru
www.epski.gr
www.forbes.com
www.free-time.ru
www.gamma.vyborg.ru
www.gantke-net.com
www.gin.ru
www.glass-master.ru
www.glavriba.ru
www.gradinter.ru
www.hack-gegen-rechts.com
www.hbz-nrw.de
www.hgr.de
www.hgrstrailer.com
www.ifa-guide.co.uk
www.iluminati.kicks-ass.net
www.infognt.com
www.intellect.lvc
www.interfoodtd.ru
www.interrybflot.ru
www.inversorlatino.com
www.jewishgen.org
www.k2kapital.com
www.kefaloniaresorts.com
www.lamatec.com
www.landofcash.net
www.laserbuild.ru
www.math.kobe-u.ac.jp
www.mcschnaeppchen.com
www.mdmedia.org
www.met.pl
www.metacenter.ru
www.milm.ru
www.myrtoscorp.com
www.nefkom.net
www.neostrada.pl
www.neprifan.ru
www.netradar.com
www.no-abi2003.de
www.oldtownradio.com
www.omnicom.ru
www.oshweb.com
www.pakwerk.ru
www.perfectgirls.net
www.perfectjewel.com
www.peterstar.ru
www.pgipearls.com
www.phg.pl
www.porsa.ru
www.porta.de
www.rafani.cz
www.rastt.ru
www.republika.pl
www.republika.pl
www.rollenspielzirkel.de
www.rubikon.pl
www.rumbgeo.ru
www.rweb.ru
www.scli.ru
www.sdsauto.ru
www.sensi.com
www.silesianet.pl
www.sjgreatdeals.com
www.sposob.ru
www.strefa.pl
www.tanzen-in-sh.de
www.taom-clan.de
www.tayles.com
www.teatr-estrada.ru
www.teleline.ru
www.thepositivesideofsports.com
www.timelessimages.com
www.tuhart.net
www.vconsole.net
www.vendex.ru
www.virtmemb.com
www.vivamedia.ru
www.vrack.net
www.wapf.com
www.webpark.pl
www.webronet.com
www.webzdarma.cz
www.yarcity.ru
www.youbuynow.com
www.zeiss.ru
www.zelnet.ru
www.zhp.gdynia.pl
wynnsjammer.proboards18.com
yaguark.h10.ru

Una volta eseguito, il file crea i seguenti files:

%System%\windll.exe.
%System%\windll.exeopen
%System%\windll.exeopenopen
%System%\re_file.exe

e crea i seguenti Mutex:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Crea la seguente voce sotto la chiave del registro
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"erthgdr"="%System%\windll.exe"

Cancella inoltre dal registro le voci:

"9XHtProtect"
"Antivirus"
"EasyAV"
"FirewallSvr"
"HtProtect"
"ICQ Net"
"ICQNet"
"Jammer2nd"
"KasperskyAVEng"
"MsInfo"
"My AV"
"NetDy"
"Norton Antivirus AV"
"PandaAVEngine"
"SkynetsRevenge"
"Special Firewall Service"
"SysMonXP"
"Tiny AV"
"Zone Labs Client Ex"
"service"

dalle chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Si copia sotto le directory contenenti la stringa 'SHAR' con i seguenti nomi:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Viene creata la seguente chiave di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Ru1n

Per finire il worm ha anche funzioni di backdoor: apre infatti la porta TCP 80 e una porta UDP random. Contatta poi l'autore segnalando che il sistema è stato infettato ed è pronto per ricevere comandi.

Si consiglia di aggiornare rapidamente il software antivirus vista la velocità con cui il worm si sta propagando.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pikkoz13 Agosto 2004, 20:58 #1
Certo che si da da fare...
maxxxl13 Agosto 2004, 22:55 #2
una volta beccato si deve buttare il sia il pc che la scrivania!
Avatar013 Agosto 2004, 23:27 #3
insomma una sciocchezzuola da niente
DeMonViTo14 Agosto 2004, 13:25 #4
basta non lanciare gli allegati... e non prendi virus... sempre le solite storie
vetrofragile15 Agosto 2004, 16:54 #5
Sono sempre più convinto che siano le stesse software house a mettere in circolo, periodicamente, varianti di virus famosi.. non si spiega altrimenti una così "puntigliosa" periodicità delle varianti.
maledetti
PeK15 Agosto 2004, 19:56 #6
cacchio, ma quelli che scrivono sti virus così complicati che cavolo ci guadagnano?
eraser15 Agosto 2004, 20:12 #7
si migliorano nella programmazione
mau7316 Agosto 2004, 11:10 #8
se non ci fossero + virus gli antivurs che ci starebbero a fare ??? ....

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^