Worm.Win32_Bagle-AY
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 17000 Octet(s)
Détails techniques:
Le ver se présente sous la forme d'un fichier exécutable compacté PeX, mais il peut également être distribué sous la forme d'une applet du panneau de configuration.
Méthode d'infection
Lorsqu'il est exécuté, Bagle-AZ se copie en tant que :
%System%\sysformat.exe
et modifie la base de registre dans le but d'être exécuté à chaque démarrage d'une session utilisateur :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysformat = "%System%\sysformat.exe"
Note: '%System%' est une variable de localisation. Bagle-AZ détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Il est possible que 4 autres fichiers soient créés lorsque le ver génère la pièce jointe à envoyer :
%System%\sysformat.exeopen
%System%\sysformat.exeopenopen
%System%\sysformat.exeopenopenopen
%System%\sysformat.exeopenopenopenopen
Méthode de distribution
Par courriel
Le ver arrive sous la forme d'un courriel dont l'objet et le corps du message sont générés aléatoirement. Le courriel est accompagné d'une pièce jointe ayant un nom et des extensions aléatoires. L'adresse de l'expéditeur du message est "spoofée", choisit parmi une liste d'adresses collectées sur le système.
L'e-mail envoyé par le ver possède les caractéristiques suivantes :
L'objet du message est sélectionné aléatoirement parmi la liste suivante:
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Le contenu du message est sélectionné aléatoirement parmi la liste suivante :
Thanks for use of our software.
Before use read the help
Le ver s'attache au message en sélectionnant son nom aléatoirement parmi la liste suivante :
wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03
L'extension du fichier infecté peut être:
.exe
.scr
.com
.cpl
Le ver se répand en envoyant un email à chaque adresse électronique trouvée sur la machine infectée. Il trouve les adresses dans le carnet d'adresses de Windows mais également dans les fichiers ayant l'un des extensions suivantes :
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
En revanche, le ver n'envoie pas de messages aux adresses contenant l'une des chaînes de caractères suivantes :
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
Le ver possède son propre client SMTP afin d'envoyer les courriels infectés. Il trouve l'adresse des serveurs SMTP en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée. Si il ne parvient pas à trouver de serveur DNS en local, il tente d'utiliser celui-ci : "217.5.97.137"
Par réseaux P2P
Le ver se copie dans tous les répertoires contenant la chaîne de caractère "shar".
Il utilise alors l'un des noms de fichiers suivants:
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ce qui permet au ver de se répandre par les réseaux Peer-to-peer tel que Kazaa.
Payload
Arrêt de processus
Le ver est également capable de détecter et terminer les processus suivants :
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe
Informations complémentaires
Le ver créait également deux mutex :
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Capture(s) d'écran:
Taille: 17000 Octet(s)
Détails techniques:
Le ver se présente sous la forme d'un fichier exécutable compacté PeX, mais il peut également être distribué sous la forme d'une applet du panneau de configuration.
Méthode d'infection
Lorsqu'il est exécuté, Bagle-AZ se copie en tant que :
%System%\sysformat.exe
et modifie la base de registre dans le but d'être exécuté à chaque démarrage d'une session utilisateur :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysformat = "%System%\sysformat.exe"
Note: '%System%' est une variable de localisation. Bagle-AZ détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Il est possible que 4 autres fichiers soient créés lorsque le ver génère la pièce jointe à envoyer :
%System%\sysformat.exeopen
%System%\sysformat.exeopenopen
%System%\sysformat.exeopenopenopen
%System%\sysformat.exeopenopenopenopen
Méthode de distribution
Par courriel
Le ver arrive sous la forme d'un courriel dont l'objet et le corps du message sont générés aléatoirement. Le courriel est accompagné d'une pièce jointe ayant un nom et des extensions aléatoires. L'adresse de l'expéditeur du message est "spoofée", choisit parmi une liste d'adresses collectées sur le système.
L'e-mail envoyé par le ver possède les caractéristiques suivantes :
L'objet du message est sélectionné aléatoirement parmi la liste suivante:
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Le contenu du message est sélectionné aléatoirement parmi la liste suivante :
Thanks for use of our software.
Before use read the help
Le ver s'attache au message en sélectionnant son nom aléatoirement parmi la liste suivante :
wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03
L'extension du fichier infecté peut être:
.exe
.scr
.com
.cpl
Le ver se répand en envoyant un email à chaque adresse électronique trouvée sur la machine infectée. Il trouve les adresses dans le carnet d'adresses de Windows mais également dans les fichiers ayant l'un des extensions suivantes :
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
En revanche, le ver n'envoie pas de messages aux adresses contenant l'une des chaînes de caractères suivantes :
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
Le ver possède son propre client SMTP afin d'envoyer les courriels infectés. Il trouve l'adresse des serveurs SMTP en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée. Si il ne parvient pas à trouver de serveur DNS en local, il tente d'utiliser celui-ci : "217.5.97.137"
Par réseaux P2P
Le ver se copie dans tous les répertoires contenant la chaîne de caractère "shar".
Il utilise alors l'un des noms de fichiers suivants:
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ce qui permet au ver de se répandre par les réseaux Peer-to-peer tel que Kazaa.
Payload
Arrêt de processus
Le ver est également capable de détecter et terminer les processus suivants :
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe
Informations complémentaires
Le ver créait également deux mutex :
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Capture(s) d'écran:
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
