|
Les objets des courriels varient mais sont toujours suffisamment généraux pour que la plupart des internautes se sentent concernés («Changes..», «Encrypted», «document», «Fax Message», «Forum notify», «Incoming message», «Notification», etc.). De plus, le corps très court du message ne fait qu'inviter à ouvrir le fichier joint. Un mot de passe est également fourni si le fichier compressé est crypté.
Lorsqu'il infecte un PC, il tente d'abord d'empêcher le démarrage des logiciels antivirus, s'installe dans le sous-dossier System32 de Windows puis se copie sous différents noms dans les dossiers partagés des logiciels d'échange de fichiers. Comme tout bon ver informatique, il se duplique aussi vers les adresses de courriel qu'il trouve sur le disque dur local.
Par Jean-Charles Condo (Le 07 Juillet 2004/Branchez-vous)
Détails Techniques :
W32/Bagle-AD est un membre de la famille de vers de messagerie W32/Bagle. Lorsqu’il est exécuté, le ver affiche une boîte de message contenant le titre "Error!" et le message "Can't find a viewer associated with the file".
W32/Bagle-AD se propage par courriel. Les adresses électroniques sont recueillies depuis des fichiers portant les extensions suivantes :
WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP.
W32/Bagle-AD utilise son propre moteur SMTP pour se propager.
Le ver envoie un courriel de type HTML avec les caractéristiques suivantes :
Expéditeur : L’adresse de l’expéditeur est usurpée.
Nom de la pièce jointe : Le nom de la pièce jointe est choisi parmi ceux de la liste suivante :
Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message
W32/Bagle-AD est capable de s’envoyer sous la forme d’un fichier crypté avec une extension ZIP, HTA, VBS, CPL ou sous la forme d’un fichier exécutable normal avec une extension EXE, COM ou SCR.
Le ver peut aussi envoyer son propre code source dans un fichier nommé sources.zip
Objet :
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Corps du message :
Lorsque le fichier arrive dans un fichier non crypté (directement exécutable) alors le corps du message est le suivant :
Read the attach.
Your file is attached.
More info is in attach
See attach.
Please, have a look at the attached file.
Your document is attached.
Please, read the document.
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Pay attention at the attach.
See the attached file for details.
Message is in attach
Here is the file.
Lorsque le ver s’attache en tant que fichier crypté, le mot de passe est inclus dans le courriel en tant qu’image bitmap et le corps du message est l’un des suivants :
For security reasons attached file is password protected.
The password is
For security purposes the attached file is password protected.
Password --
Attached file is protected with the password for security reasons.
Password is
In order to read the attach you have to use the following
password:
Note: Use password to open archive
Archive password:
Password -
Password:
Le fichier ZIP contient un exécutable portant les extensions EXE, COM ou SCR et un fichier texte inoffensif portant l’une des extensions suivantes : INI, CFG, TXT, VXD, DEF ou DLL.
Le ver tente ensuite de supprimer les entrées de registre de plusieurs processus associés à des logiciels antivirus et de sécurité. Si elles existent, les entrées de registre supprimées sont les suivantes HKLM\Software\Microsoft\Windows\CurrentVersion\Run :
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Le ver vérifie la date du jour et s’arrête si la date est postérieure au 6 Juillet 2004.
W32/Bagle-AD crée ensuite des copies de lui-même dans tous les dossiers contenant la sous-chaîne SHAR sur tous les lecteurs. Le ver utilise les noms de fichiers suivants :
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
|
