K-OTik : Propagation d'une nouvelle variante du ver Bagle (Bagle.AO)

Bulletin K-OTik.COM : Propagation d'une nouvelle variante du ver Bagle (Bagle.AO)

Date de publication : 09 Août 2004 - 22h40 GMT
Version : 1.0

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours

Risque Moyen (2/4)

- Identifiée par certains éditeurs sous le nom - Bagle.AO, cette énième variante du ver Bagle a fait son apparition ce lundi soir. Elle se transmet (comme d'habitude) par email via des fichiers joints nommés : "price.zip" ou "new_price.zip"...[cf. Détails Techniques].

La pièce jointe contient un exécutable (*price*.exe) et un fichier HTML (price.html). L'ouverture "manuelle" de cette page HTML provoquera l'exécution du fichier EXE qui, à son tour, téléchargera et installera le ver (charge malveillante).

Important : Le fichier "Price.html" exploite la vulnérabilité "Object Data" d'Internet Explorer. L'infection (via ce procédé) n'est donc possible que sur un système non-patché (seul le doubleclick sur le fichier .exe peut provoquer l'infection). Le niveau de risque lié à ce ver est donc qualifié de : Moyen (2/4).

Analyse Technique :

Alias : W32.Beagle.AO@mm [Symantec], W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend], Win32.Bagle.AG [Computer Associates]
OS : Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP

Bagle.AQ ouvre une porte dérobée sur le port TCP/2480

Expéditeur : adresse usurpée
Objet : (aucun objet)
Message : New price
Fichiers joints :
price.zip
price_new.zip
newprice.zip
new_price.zp
[Le nom peut contenir un chiffre aléatoire]

Ce fichier zip contient un exécutable (ayant le même nom que le .zip), et un fichier HTML "Price.html" (une fois ouverte, cette page lancera le fichier exécutable) :

-----------------------------------------------------------------------------------------------------------

~~var *exe*path='price/price.exe';~~
***cript>

-----------------------------------------------------------------------------------------------------------

Le fichier exécutable est un téléchargeur (downloader). S'il est exécuté, il téléchargera le ver (avec la charge malveillante) depuis plusieurs sites web.

Il se copie ensuite sous :
%System%\WINdirect.exe
%System%\windll.exe
%System%\re_file.exe

Il rajoute les clés suivantes au registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\erthgdr = %System%\windll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\win_upd2.exe = %System%\WINdirect.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n

Le ver identifie les répertoires contenant la chaîne "SHAR" puis s'y copie sous les noms :
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Microsoft Office 2003 Crack, Working.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Serials.txt.exe

Il essaye de s'auto-envoyer vers des adresses email collectées depuis les fichiers :
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml