Nom: Worm.Win32_Bagle-AY

VirusTraQ ID: VTQ10048
URL: http://www.virustraq.com/info_virus/10048/

Date de publication: 27/01/2005 à 20:09:13
Date de mise à jour : 27/01/2005 à 21:29:14

Niveau de menace: Critique

Catégorie: Ver
Type: Ver Win32

Alias: Email-Worm.Win32.Bagle.ay (Kaspersky)
W32/Bagle-AY (Sophos)
WORM_BAGLE.AY
W32.Beagle.AY@mm (Symantec)
Bagle.AY (F-Secure)
Win32.Bagle.AU (Computer Associates)

Origine: Inconnue
Plateforme(s) affectée(s): Windows (Tous)

Description: 
Bagle-AY est un ver de pollupostage qui se propage également par les réseaux peer-to-peer. Le courriel envoyé est composé d'un objet et d'un corps de message générés aléatoirement, il comporte en plus une pièce jointe ayant pour extension .COM, .EXE, .CPL ou .SCR.

Détails techniques: 
Le ver se présente sous la forme d'un fichier exécutable compacté PeX, mais il peut également être distribué sous la forme d'une applet du panneau de configuration. 

Méthode d'infection 

Lorsqu'il est exécuté, Bagle-AZ se copie en tant que : 

%System%\sysformat.exe 

et modifie la base de registre dans le but d'être exécuté à chaque démarrage d'une session utilisateur : 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysformat = "%System%\sysformat.exe" 

Note: '%System%' est une variable de localisation. Bagle-AZ détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32. 

Il est possible que 4 autres fichiers soient créés lorsque le ver génère la pièce jointe à envoyer : 

%System%\sysformat.exeopen 
%System%\sysformat.exeopenopen 
%System%\sysformat.exeopenopenopen 
%System%\sysformat.exeopenopenopenopen 

Méthode de distribution 

Par courriel 

Le ver arrive sous la forme d'un courriel dont l'objet et le corps du message sont générés aléatoirement. Le courriel est accompagné d'une pièce jointe ayant un nom et des extensions aléatoires. L'adresse de l'expéditeur du message est "spoofée", choisit parmi une liste d'adresses collectées sur le système. 

L'e-mail envoyé par le ver possède les caractéristiques suivantes : 

L'objet du message est sélectionné aléatoirement parmi la liste suivante: 

Delivery service mail 
Delivery by mail 
Registration is accepted 
Is delivered mail 
You are made active 

Le contenu du message est sélectionné aléatoirement parmi la liste suivante : 

Thanks for use of our software. 

Before use read the help 

Le ver s'attache au message en sélectionnant son nom aléatoirement parmi la liste suivante : 

wsd01 
viupd02 
siupd02 
guupd02 
zupd02 
upd02 
Jol03 

L'extension du fichier infecté peut être: 

.exe 
.scr 
.com 
.cpl 

Le ver se répand en envoyant un email à chaque adresse électronique trouvée sur la machine infectée. Il trouve les adresses dans le carnet d'adresses de Windows mais également dans les fichiers ayant l'un des extensions suivantes : 

.adb 
.asp 
.cfg 
.cgi 
.dbx 
.dhtm 
.eml 
.htm 
.jsp 
.mbx 
.mdx 
.mht 
.mmf 
.msg 
.nch 
.ods 
.oft 
.php 
.pl 
.sht 
.shtm 
.stm 
.tbb 
.txt 
.uin 
.wab 
.wsh 
.xls 
.xml 

En revanche, le ver n'envoie pas de messages aux adresses contenant l'une des chaînes de caractères suivantes : 

@microsoft 
rating@ 
f-secur 
news 
update 
anyone@ 
bugs@ 
contract@ 
feste 
gold-certs@ 
help@ 
info@ 
nobody@ 
noone@ 
kasp 
admin 
icrosoft 
support 
ntivi 
unix 
bsd 
linux 
listserv 
certific 
sopho 
@foo 
@iana 
free-av 
@messagelab 
winzip 
google 
winrar 
samples 
abuse 
panda 
cafee 
spam 
pgp 
@avp. 
noreply 
local 
root@ 
postmaster@ 

Le ver possède son propre client SMTP afin d'envoyer les courriels infectés. Il trouve l'adresse des serveurs SMTP en effectuant une requête "MX lookup" sur le serveur DNS de la machine infectée. Si il ne parvient pas à trouver de serveur DNS en local, il tente d'utiliser celui-ci : "217.5.97.137" 

Par réseaux P2P 

Le ver se copie dans tous les répertoires contenant la chaîne de caractère "shar". 

Il utilise alors l'un des noms de fichiers suivants: 

Ahead Nero 7.exe 
Windown Longhorn Beta Leak.exe 
Opera 8 New!.exe 
XXX hardcore images.exe 
WinAmp 6 New!.exe 
WinAmp 5 Pro Keygen Crack Update.exe 
Adobe Photoshop 9 full.exe 
Matrix 3 Revolution English Subtitles.exe 
ACDSee 9.exe 
1.exe 
2.exe 
3.exe 
4.exe 
5.scr 
6.exe 
7.exe 
8.exe 
9.exe 
10.exe 

Ce qui permet au ver de se répandre par les réseaux Peer-to-peer tel que Kazaa. 

Payload 

Arrêt de processus 

Le ver est également capable de détecter et terminer les processus suivants : 

APVXDWIN.EXE 
ATUPDATER.EXE 
AUPDATE.EXE 
AUTODOWN.EXE 
AUTOTRACE.EXE 
AUTOUPDATE.EXE 
AVENGINE.EXE 
AVPUPD.EXE 
AVWUPD32.EXE 
AVXQUAR.EXE 
Avconsol.exe 
Avsynmgr.exe 
CFIAUDIT.EXE 
DRWEBUPW.EXE 
DefWatch.exe 
ESCANH95.EXE 
ESCANHNT.EXE 
FIREWALL.EXE 
FrameworkService.exe 
ICSSUPPNT.EXE 
ICSUPP95.EXE 
LUALL.EXE 
LUCOMS~1.EXE 
MCUPDATE.EXE 
NISUM.EXE 
NPROTECT.EXE 
NUPGRADE.EXE 
OUTPOST.EXE 
PavFires.exe 
Rtvscan.exe 
RuLaunch.exe 
SAVScan.exe 
SHSTAT.EXE 
SNDSrvc.exe 
UPDATE.EXE 
UpdaterUI.exe 
VsStat.exe 
VsTskMgr.exe 
Vshwin32.exe 
alogserv.exe 
bawindo.exe 
blackd.exe 
ccApp.exe 
ccEvtMgr.exe 
ccProxy.exe 
ccPxySvc.exe 
mcagent.exe 
mcshield.exe 
mcvsescn.exe 
mcvsrte.exe 
mcvsshld.exe 
navapsvc.exe 
navapw32.exe 
nopdb.exe 
pavProxy.exe 
pavsrv50.exe 
symlcsvc.exe 

Informations complémentaires 

Le ver créait également deux mutex : 
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Taille: 17000 Octet(s)

Désinfection: 
Pour Windows NT/2000/XP/2003 

Bagle-AZ modifie des entrées dans la base de registre, il faut donc modifier le registre système. Pour cela, dans la Barre des tâches, cliquez sur Démarrer puis Exécuter. Saisir ensuite "Regedit" et appuyez sur Entrée. L'éditeur de la base de registre s'ouvre alors. 

Avant toute modification du registre système, il est préférable d'effectuer une sauvegarde. Pour cela, dans le menu "Registre", cliquer sur "Exporter un fichier du registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre. 

Rechercher ensuite l'entrée suivante : 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysformat = "%System%\sysformat.exe" 

Supprimer ensuite toutes les références au ver (%System%\sysformat.exe)

Références: 

- Computer Associates: http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=41543
- F-Secure: http://www.datafellows.com/v-descs/bagle_ay.shtml
- Kaspersky: http://www.viruslist.com/en/viruses/encyclopedia?virusid=70919
- Sophos (USA): http://www.sophos.com/virusinfo/analyses/w32bagleay.html
- Sophos (FR): http://www.sophos.fr/virusinfo/analyses/w32bagleay.html
- Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ay@mm.html

=================================================
A propos:
Cette description de virus vous est proposée par VirusTraQ.com. La liste de diffusion Virus de VirusTraQ vous permet de suivre en "temps réel" les tout derniers risques de virus découverts en liberté. 

Désabonnement:
Vous souhaitez résilier votre abonnement à la liste de diffusion Virus de VirusTraQ.com ?
Cliquez sur le lien suivant : http://www.virustraq.com/service/liste_de_diffusion/ 

La rédaction:
Nous contacter : http://www.virustraq.com/contact/
Nom de domaine du site : http://www.virustraq.com/