Worm.Win32_Bagle-BG

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 33284 Octet(s)

Détails techniques:

A son exécution, Bagle-BG se copie dans :

"%System%\svc.exe"

Et ajoute les entrées de registre suivantes :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n\erthgdr = "%System%\svc.exe"

Cette entrée de registre n'a aucun but pratique. Le ver ne se lancera pas au démarrage de Windows.

N.B. : Bagle-BG détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Bagle-BG ne s'envoie pas lui-même par e-mail. Au lieu de ça, il attache une variante du ver Glieder (Glieder-AF) qui téléchargera et exécutera Bagle-BG. Le fichier qui est téléchargé peut être mis à jour n'importe quand.

Voici les caractéristiques du mail envoyé :

Objet

{vierge}

Corps du message

{vierge}

Pièce-jointe

Price_new.zip
Price_new_16_04_05.zip
Work.zip
Be_not_jealous.zip
8.zip
7.zip
6.zip
5.zip


Le fichier ZIP contient :

18_04_2005.exe

Bagle-BG ne récolte pas les adresses sur le système local. Au contraire, il les télécharge depuis l'une des 10 urls du domaine nudp.com.

Le ver envoie un e-mail en utilisant son propre client SMTP. Il trouve le serveur mail approprié à chaque destinataire en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée. Si il ne parvient pas à trouver de serveur DNS en local, il tente d'utiliser celui-ci : "217.5.97.137".

Le ver installe également une porte dérobée sur le port TCP 80, permettant un accès à distance sur l'ordinateur infecté. Cette porte dérobée peut être utilisée pour télédécharger et exécuter des fichiers, et bien sûr mettre à jour le ver. Par cet accès, le port d'écoute peut également être changé.

Le ver retire les valeurs suivantes :

9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service


Des clefs de registre suivantes :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n:


Mais vu que le nom de la clef est "Ru1n", au lieu de "Run", il peu probable que ces valeurs existent.

Le ver crée plusieurs mutex :

- MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Ces mutex sont probablement créés pour empêcher l'exécution d'autres virus (tels que Netsky) pendant l'exécution de Bagle.

Si le ver se lance le 12 avril 2008 ou après, il se termine et se désinstalle de lui-même sans se propager.




http://www.blocus-zone.com/