Worm.Win32_Bagle-BA

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 29700 Octet(s)

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, Bagle-BA se copie dans le répertoire %System% en tant que "windlhhl.exe".

Il ajoute ensuite la valeur suivante dans la base de registre :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\erghgjhgdr = "%System%\windlhhl.exe"

Cette valeur n'a aucune fonction pratique. Le ver ne s'exécute pas au démarrage d'une session utilisateur.

Note: '%System%' est une variable de localisation. Bagle-BA détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Méthode de distribution

Bagle-BA ne s'envoie pas lui-même par e-mail. En revanche, il attache une archive ZIP contenant le malware nommé "Glieder-O", qui télécharge Bagle-BA et l'exécute pour continuer son cycle de propagation.

Le fichier distant téléchargé peut ainsi être constamment mis à jour et permettre l'activation de nouvelles variantes de Bagle.

Le message envoyé par le ver possède les caractéristiques suivantes :

Objet :

Vide (contient simplement deux espaces)

Le corps du message est sélectionné aléatoirement parmi la liste suivante :

new price
price


Le nom du fichier attaché est sélectionné aléatoirement parmi la liste suivante :

price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip


L'archive ZIP attachée contient le fichier suivant :
prs_03.exe

Cette variante de Bagle n'utilise pas d'adresses e-mail récupérées sur le système. En effet, il les télécharge par l'URL suivant :

http://oceancareers.com/*/********

Note: Cette URL a été censurée

L'URL retourne une liste de 50 adresses électroniques différentes à chaque fois qu'elle est accédée. Bagle-BA répète ainsi l'opération afin d'obtenir de nouvelles adresses e-mails à infecter. Ces adresses sont également utilisées comme destinataire.

Bagle-BA utilise son propre moteur SMTP pour envoyer les courriels. Il trouve le serveur de messagerie en effectuant un MX lookup sur le serveur DNS du système local. S'il n'en trouve pas, il utilise le DNS localisé à l'adresse IP suivante : 217.5.97.137.

Payload

Porte dérobée

Le ver ouvre une porte dérobée sur le port TCP 80 permettant à un utilisateur distant d'accéder à la machine. Cette porte dérobée peut être utiliser pour uploader et exécuter des fichiers, ou mettre à jour le ver.

Elle peut être également configurée pour écouter sur un autre port.

Suppression de valeurs dans la base de registre

Le ver supprime les valeurs des clés suivantes de la base de registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n

9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service


Du fait que la clé se nomme "Ru1n" et non "Run", cette fonctionnalité n'a aucun effet.

Informations complémentaires

Le ver créait les mutex suivants :

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_


Ces mutex sont probablement créés pour empêcher que d'autres virus tels que NetSky soient exécutés sur la machine en même temps que Bagle-BA.

Si le ver est exécuté le 10 Août 2006 ou plus tard, il se supprime de lui-même de la base de registre et termine sa propagation.

Capture(s) d'écran:

Bagle-BA



http://www.cccure.net/