|
moteur SMTP pour se propager, il envoie un courrier de type HTML avec les caractéristiques suivantes :
Expéditeur : L’adresse est toujours usurpée.
Pièce jointe : Le nom est choisi parmi ceux de la liste suivante :
Information
Details
text_document
Updates
Readme
Document
Info
Details
Message
W32/Bagle.AF est capable de s’envoyer sous la forme d’un fichier ZIP crypté, d’un fichier CPL ou sous la forme d’un fichier exécutable normal avec une extension EXE, COM ou SCR.
Objet :
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Corps du message :
Lorsque le fichier arrive dans un fichier non crypté (directement exécutable) alors le corps du message est le suivant :
Read the attach.
Your file is attached.
More info is in attach.
See attach.
Please, have a look at the attached file.
Your document is attached.
Please, read the document.
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Pay attention at the attach.
See the attached file for details.
Message is in attach
Here is the file.
Lorsque le ver s’attache en tant que fichier crypté, le mot de passe est inclus dans le courriel en tant qu’image bitmap et le corps du message est l’un des suivants :
For security reasons attached file is password protected.
The password is
For security purposes the attached file is password protected.
Password --
Attached file is protected with the password for security reasons.
Password is
In order to read the attach you have to use the following
password:
Note: Use password to open archive
Archive password:
Password -
Password:
Le fichier ZIP contient un exécutable portant les extensions EXE, COM ou SCR et un fichier texte inoffensif portant l’une des extensions suivantes : INI, CFG, TXT, VXD, DEF ou DLL.
Le ver tente ensuite de supprimer les entrées de registre de plusieurs processus associés à des logiciels antivirus et de sécurité. Si elles existent, les entrées de registre suivantes sont supprimées de HKLM\Software\Microsoft\Windows\CurrentVersion\Run :
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
W32/Bagle.AF se copie dans le dossier système Windows et, pour s’exécuter au démarrage, crée une entrée de registre sous :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
W32/Bagle.AF crée ensuite des copies de lui-même dans tous les dossiers contenant la chaîne *SHAR* sur tous les lecteurs. Le ver utilise les noms de fichiers suivants :
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Désinfection :
|
