K-OTik : Bagle.AI (AG) - Propagation via email et réseaux peer-to-peer

Bagle.AI (AG) - Propagation via email et réseaux peer-to-peer

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours

Risque Moyen (2/4)

Par K-OTik Security (Cellule AntiVirus) - Plusieurs nouvelles variantes "Bagle" menacent les usagers, principalement en Europe et aux États-Unis. W32.Beagle.AG@mm est un ver de type mass-mailing qui utilise son propre moteur SMTP pour se propager par courrier électronique, et ouvre une porte dérobée sur le port TCP 1080.

L'objet, le corps du message et la pièce jointe du courrier électronique varient. L'extension du fichier en pièce jointe sera .com, .cpl, .exe, .scr ou .zip. Si la pièce jointe est un fichier .zip, le fichier sera protégé par mot de passe.

Lorsque W32.Beagle.AG@mm s'exécute, il réalise les opérations suivantes :

Il supprime toutes les valeurs qui contiennent les chaînes de caractères suivantes :
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex

des clés de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Il crée les fichiers suivants :
%System%\winxp.exe
%System%\winxp.exeopen
%System%\winxp.exeopenopen
%System%\winxp.exeopenopenopen
%System%\winxp.exeopenopenopenopen
Il dépose le fichier %System%\winxp.exeopenopen dont l'extension sera .zip ou .cpl :
- S'il s'agit d'un fichier .zip, il contiendra deux fichiers nommés de façon aléatoire. L'un d'entre eux sera un fichier .exe et l'autre un fichier texte avec l'extension .sys, .dat, .idx, .vxd, .vid ou .dll.
- S'il s'agit d'un fichier .cpl et qu'il est exécuté, il déposera un fichier nommé cjector.exe dans le dossier %Windir%.
Il ajoute la valeur :

"key" = "%System%\winxp.exe"

à la clé de registre :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

de sorte que le ver s'exécute au démarrage de Windows.
Il ouvre une porte dérobée sur le port TCP 1080, afin que l'ordinateur infecté puisse être utilisé comme relais de courrier électronique.
Il contacte un script .php sur certains domaines prédéfinis : Reportez-vous au paragraphe intitulé "Domaines" à la fin de la section "Détails techniques" pour obtenir la liste complète des domaines concernés.
Il termine les processus de divers logiciels. Reportez-vous au paragraphe intitulé "Processus" à la fin de la section "Détails techniques" pour obtenir la liste complète des processus concernés.
Si la date du système est postérieure au 05.05.06, le ver quittera la mémoire et supprimera sa valeur du registre, ainsi que sa clé :

HKEY_CURRENT_USER\SOFTWARE\base_path
Il tente de créer des copies de lui-même dans tout dossier contenant les caractères "shar". Les fichiers porteront les noms suivants :
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Kaspersky Antivirus 5.0
- KAV 5.0
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Opera 8 New!.exe
- Porno pics arhive, xxx.exe
- Porno Screensaver.scr
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
Il recherche des adresses électroniques dans les fichiers aux extensions suivantes :
- .adb
- .asp
- .cfg
- .cgi
- .dbx
- .dhtm
- .eml
- .htm
- .jsp
- .mbx
- .mdx
- .mht
- .mmf
- .msg
- .nch
- .ods
- .oft
- .php
- .pl
- .sht
- .shtm
- .stm
- .tbb
- .txt
- .uin
- .wab
- .wsh
- .xls
- .xml
Il utilise son propre moteur SMTP pour envoyer des courriers électroniques aux adresses trouvées. Le courrier électronique peut présenter les caractéristiques suivantes :

De :

Objet : Re_

Corps du message :
- foto3 and MP3
- fotogalary and Music
- fotoinfo
- Lovely animals
- Animals
- Predators
- The snake
- Screen and Music

Pièce jointe : (L'une des suivantes)

Cool_MP3

Doll

Fish

Garry

Music_MP3

New_MP3_Player

Extension de la pièce jointe : (L'une des suivantes)

.exe

.scr

.com

.cpl

.zip (protégé par mot de passe)

Domaines
W32.Beagle.AG@mm tente de contacter 143 domaines internet.

Processus
W32.Beagle.AG@mm tente de terminer les processus suivants :

AGENTSVR.EXE

ANTI-TROJAN.EXE

ANTI-TROJAN.EXE

ANTIVIRUS.EXE

ANTS.EXE

APIMONITOR.EXE

APLICA32.EXE

APVXDWIN.EXE

ATCON.EXE

ATGUARD.EXE

ATRO55EN.EXE

ATUPDATER.EXE

ATWATCH.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVCONSOL.EXE

AVGSERV9.EXE

AVLTMAIN.EXE

AVprotect9x.exe

AVPUPD.EXE

AVSYNMGR.EXE

AVWUPD32.EXE

AVXQUAR.EXE

BD_PROFESSIONAL.EXE

BIDEF.EXE

BIDSERVER.EXE

BIPCP.EXE

BIPCPEVALSETUP.EXE

BISP.EXE

BLACKD.EXE

BLACKICE.EXE

BOOTWARN.EXE

BORG2.EXE

BS120.EXE

CDP.EXE

CFGWIZ.EXE

CFGWIZ.EXE

CFIADMIN.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFIAUDIT.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET.EXE

CFINET32.EXE

CFINET32.EXE

CLEAN.EXE

CLEAN.EXE

CLEANER.EXE

CLEANER.EXE

CLEANER3.EXE

CLEANPC.EXE

CLEANPC.EXE

CMGRDIAN.EXE

CMGRDIAN.EXE

CMON016.EXE

CMON016.EXE

CPD.EXE

CPF9X206.EXE

CPFNT206.EXE

CV.EXE

CWNB181.EXE

CWNTDWMO.EXE

DEFWATCH.EXE

DEPUTY.EXE

DPF.EXE

DPFSETUP.EXE

DRWATSON.EXE

DRWEBUPW.EXE

ENT.EXE

ESCANH95.EXE

ESCANHNT.EXE

ESCANV95.EXE

EXANTIVIRUS-CNET.EXE

FAST.EXE

FIREWALL.EXE

FLOWPROTECTOR.EXE

FP-WIN_TRIAL.EXE

FRW.EXE

FSAV.EXE

FSAV530STBYB.EXE

FSAV530WTBYB.EXE

FSAV95.EXE

GBMENU.EXE

GBPOLL.EXE

GUARD.EXE

GUARDDOG.EXE

HACKTRACERSETUP.EXE

HTLOG.EXE

HWPE.EXE

IAMAPP.EXE

IAMAPP.EXE

IAMSERV.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFW2000.EXE

IPARMOR.EXE

IRIS.EXE

JAMMER.EXE

KAVLITE40ENG.EXE

KAVPERS40ENG.EXE

KERIO-PF-213-EN-WIN.EXE

KERIO-WRL-421-EN-WIN.EXE

KERIO-WRP-421-EN-WIN.EXE

KILLPROCESSSETUP161.EXE

LDPRO.EXE

LOCALNET.EXE

LOCKDOWN.EXE

LOCKDOWN2000.EXE

LSETUP.EXE

LUALL.EXE

LUCOMSERVER.EXE

LUINIT.EXE

MCAGENT.EXE

MCUPDATE.EXE

MCUPDATE.EXE

MFW2EN.EXE

MFWENG3.02D30.EXE

MGUI.EXE

MINILOG.EXE

MOOLIVE.EXE

MRFLUX.EXE

MSCONFIG.EXE

MSINFO32.EXE

MSSMMC32.EXE

MU0311AD.EXE

NAV80TRY.EXE

NAVAPW32.EXE

NAVDX.EXE

NAVSTUB.EXE

NAVW32.EXE

NC2000.EXE

NCINST4.EXE

NDD32.EXE

NEOMONITOR.EXE

NETARMOR.EXE

NETINFO.EXE

NETMON.EXE

NETSCANPRO.EXE

NETSPYHUNTER-1.2.EXE

NETSTAT.EXE

NISSERV.EXE

NISUM.EXE

NMAIN.EXE

NORTON_INTERNET_SECU_3.0_407.EXE

NPF40_TW_98_NT_ME_2K.EXE

NPFMESSENGER.EXE

NPROTECT.EXE

NSCHED32.EXE

NTVDM.EXE

NUPGRADE.EXE

NVARCH16.EXE

NWINST4.EXE

NWTOOL16.EXE

OSTRONET.EXE

OUTPOST.EXE

OUTPOSTINSTALL.EXE

OUTPOSTPROINSTALL.EXE

PADMIN.EXE

PANIXK.EXE

PAVPROXY.EXE

PCC2002S902.EXE

PCC2K_76_1436.EXE

PCCIOMON.EXE

PCDSETUP.EXE

PCFWALLICON.EXE

PCFWALLICON.EXE

PCIP10117_0.EXE

PDSETUP.EXE

PERISCOPE.EXE

PERSFW.EXE

PF2.EXE

PFWADMIN.EXE

PINGSCAN.EXE

PLATIN.EXE

POPROXY.EXE

POPSCAN.EXE

PORTDETECTIVE.EXE

PPINUPDT.EXE

PPTBC.EXE

PPVSTOP.EXE

PROCEXPLORERV1.0.EXE

PROPORT.EXE

PROTECTX.EXE

PSPF.EXE

PURGE.EXE

PVIEW95.EXE

QCONSOLE.EXE

QSERVER.EXE

RAV8WIN32ENG.EXE

REGEDIT.EXE

REGEDT32.EXE

RESCUE.EXE

RESCUE32.EXE

RRGUARD.EXE

RSHELL.EXE

RTVSCN95.EXE

RULAUNCH.EXE

SAFEWEB.EXE

SBSERV.EXE

SD.EXE

SETUP_FLOWPROTECTOR_US.EXE

SETUPVAMEEVAL.EXE

SFC.EXE

SGSSFW32.EXE

SH.EXE

SHELLSPYINSTALL.EXE

SHN.EXE

SMC.EXE

SOFI.EXE

SPF.EXE

SPHINX.EXE

SPYXX.EXE

SS3EDIT.EXE

ST2.EXE

SUPFTRL.EXE

SUPPORTER5.EXE

SYMPROXYSVC.EXE

SYSEDIT.EXE

TASKMON.EXE

TAUMON.EXE

TAUSCAN.EXE

TC.EXE

TCA.EXE

TCM.EXE

TDS2-98.EXE

TDS2-NT.EXE

TDS-3.EXE

TFAK5.EXE

TGBOB.EXE

TITANIN.EXE

TITANINXP.EXE

TRACERT.EXE

TRJSCAN.EXE

TRJSETUP.EXE

TROJANTRAP3.EXE

UNDOBOOT.EXE

UPDATE.EXE

VBCMSERV.EXE

VBCONS.EXE

VBUST.EXE

VBWIN9X.EXE

VBWINNTW.EXE

VCSETUP.EXE

VFSETUP.EXE

VIRUSMDPERSONALFIREWALL.EXE

VNLAN300.EXE

VNPC3000.EXE

VPC42.EXE

VPFW30S.EXE

VPTRAY.EXE

VSCENU6.02D30.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSISETUP.EXE

VSMAIN.EXE

VSMON.EXE

VSSTAT.EXE

VSWIN9XE.EXE

VSWINNTSE.EXE

VSWINPERSE.EXE

W32DSM89.EXE

W9X.EXE

WATCHDOG.EXE

WEBSCANX.EXE

WGFE95.EXE

WHOSWATCHINGME.EXE

WHOSWATCHINGME.EXE

WINRECON.EXE

WNT.EXE

WRADMIN.EXE

WRCTRL.EXE

WSBGATE.EXE

WYVERNWORKSFIREWALL.EXE

XPF202EN.EXE

ZAPRO.EXE

ZAPSETUP3001.EXE

ZATUTOR.EXE

ZAUINST.EXE

ZONALM2601.EXE

ZONEALARM.EXE

Désinfection : Outil Symantec (FxBeagle)

Changelog :
21 Juillet 2004 (13h33) : Version Initiale