Panda Software съобщава за появяването на Bagle.BC. Това е червей, който отваря TCP порт 81 и слуша, чакайки за отдалечени връзки. Така Bagle.BC позволява харкери да придобият отдалечен контрол над заразения компютър.
Bagle.BC прекратява процеси, които протичат към средствата за сигурност.
Освен това, Bagle.BC спира определени червеи, като някои варианти на Netsky, от изпълнението им при стартиране на Windows. За да бъде направено това, изтрива вписванията на тези червеи в Windows Registry.
Bagle.BC се разпространява по е-mail в съобщение с вариращи характеристики и през програми файлови програми тип "peer-to-peer" (P2P).
Bagle.BC трудно се разпознава, тъй като не показва никакви съобщения или предупреждения, когато е достигнал до определен компютър.
Bagle.BC предприема следните действия:
Отваря TCP порт 81 и слуша, чакайки за отдалечени връзки. Така Bagle.BC позволява на харкери да придобият отдалечен контрол над заразения компютър, за да предприемат злонамерени действия, които да компроментират компютъра и конфиденциалността на потребителя или да спрат нормалната му работа.
Bagle.BC прекратява следните процеси, ако са активни в паметта:
alogserv.exe, APVXDWIN.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, Avconsol.exe, AVENGINE.EXE, AVPUPD.EXE, Avsynmgr.exe, AVWUPD32.EXE, AVXQUAR.EXE, blackd.exe, ccApp.exe, ccEvtMgr.exe, ccProxy.exe, ccPxySvc.exe, CFIAUDIT.EXE, DefWatch.exe, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, FrameworkService.exe, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, LUCOMS~1.EXE, mcagent.exe, mcshield.exe, MCUPDATE.EXE, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, navapsvc.exe, navapw32.exe, NISUM.EXE, nopdb.exe, NPROTECT.EXE, NUPGRADE.EXE, OUTPOST.EXE, PavFires.exe, pavProxy.exe, pavsrv50.exe, Rtvscan.exe, RuLaunch.exe, SAVScan.exe, SHSTAT.EXE, SNDSrvc.exe, symlcsvc.exe, UPDATE.EXE, UpdaterUI.exe, Vshwin32.exe, VsStat.exe and VsTskMgr.exe.
Това са процеси, които принадлежат на средства за сигурност, като антивирусни програми например. Прекратява ги и оставя компютъра уязвим към атаките на друг злонамерен софтуер.
Прави опити за download на файл, наречен G.JPG от някои сайтове:
http://www.24-7-transportation.com
http://www.adhdtests.com
http://www.aegee.org
http://www.aimcenter.net
http://www.alupass.lu
http://www.amanit.ru
http://www.andara.com
http://www.angelartsanctuary.com
http://www.anthonyflanagan.com
http://www.approved1stmortgage.com
http://www.argontech.net
http://www.asianfestival.nl
http://www.atlantisteste.hpg.com.br
http://www.aviation-center.de
http://www.bbsh.org
http://www.bga-gsm.ru
http://www.boneheadmusic.com
http://www.bottombouncer.com
http://www.bradster.com
http://www.buddyboymusic.com
http://www.bueroservice-it.de
http://www.calderwoodinn.com
http://www.capri-frames.de
http://www.celula.com.mx
http://www.ceskyhosting.cz
http://www.chinasenfa.com
http://www.cntv.info
http://www.compsolutionstore.com
http://www.coolfreepages.com
http://www.corpsite.com
http://www.corpsite.com
http://www.couponcapital.net
http://www.cpc.adv.br
http://www.crystalrose.ca
http://www.cscliberec.cz
http://www.curtmarsh.com
http://www.customloyal.com
http://www.DarrkSydebaby.com
http://www.deadrobot.com
http://www.dontbeaweekendparent.com
http://www.dragcar.com
http://www.ecofotos.com.br
http://www.elenalazar.com
http://www.ellarouge.com.au
http://www.esperanzaparalafamilia.com
http://www.eurostavba.sk
http://www.everett.wednet.edu
http://www.fcpages.com
http://www.featech.com
http://www.fepese.ufsc.br
http://www.firstnightoceancounty.org
http://www.flashcorp.com
http://www.fleigutaetscher.ch
http://www.fludir.is
http://www.freeservers.com
http://www.FritoPie.NET
http://www.gamp.pl
http://www.gci-bln.de
http://www.gcnet.ru
http://www.generationnow.net
http://www.gfn.org
http://www.giantrevenue.com
http://www.glass.la
http://www.handsforhealth.com
http://www.hartacorporation.com
http://www.himpsi.org
http://www.idb-group.net
http://www.immonaut.sk
http://www.ims-i.com
http://www.innnewport.com
http://www.irakli.org
http://www.irinaswelt.de
http://www.jansenboiler.com
http://www.jasnet.pl
http://www.jhaforpresident.7p.com
http://www.jimvann.com
http://www.jldr.ca
http://www.justrepublicans.com
http://www.kencorbett.com
http://www.knicks.nl
http://www.kps4parents.com
http://www.kradtraining.de
http://www.kranenberg.de
http://www.lasermach.com
http://www.leonhendrix.com
http://www.magicbottle.com.tw
http://www.mass-i.kiev.ua
http://www.mepbisu.de
http://www.mepmh.de
http://www.metal.pl
http://www.mexis.com
http://www.mongolische-renner.de
http://www.mtfdesign.com
http://www.oboe-online.com
http://www.ohiolimo.com
http://www.onepositiveplace.org
http://www.oohlala-kirkland.com
http://www.orari.net
http://www.pankration.com
http://www.pe-sh.com
http://www.pfadfinder-leobersdorf.com
http://www.pipni.cz
http://www.polizeimotorrad.de
http://www.programmierung2000.de
http://www.pyrlandia-boogie.pl
http://www.raecoinc.com
http://www.realgps.com
http://www.redlightpictures.com
http://www.reliance-yachts.com
http://www.relocationflorida.com
http://www.rentalstation.com
http://www.rieraquadros.com.br
http://www.scanex-medical.fi
http://www.sea.bz.it
http://www.selu.edu
http://www.sigi.lu
http://www.sljinc.com
http://www.smacgreetings.com
http://www.soloconsulting.com
http://www.spadochron.pl
http://www.srg-neuburg.de
http://www.ssmifc.ca
http://www.sugardas.lt
http://www.sunassetholdings.com
http://www.szantomierz.art.pl
http://www.the-fabulous-lions.de
http://www.tivogoddess.com
http://www.tkd2xcell.com
http://www.topko.sk
http://www.transportation.gov.bh
http://www.travelchronic.de
http://www.traverse.com
http://www.uhcc.com
http://www.ulpiano.org
http://www.uslungiarue.it
http://www.vandermost.de
http://www.vbw.info
http://www.velezcourtesymanagement.com
http://www.velocityprint.com
http://www.vikingpc.pl
http://www.vinirforge.com
http://www.wecompete.com
http://www.worest.com.ar
http://www.woundedshepherds.com
http://www.wwwebad.com
http://www.wwwebmaster.com
Стратегия на заразяване:
В системната директория на Windows, Bagle.BC създава следните файлове, копия на червея:
- WINGO.EXE.
- WINGO.EXEOPEN.
- WINGO.EXEOPENOPEN.
Bagle.BC създава следния вход в Windows Registry:
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
wingo= %sysdir% wingo.exe
Правейки това Bagle.BC си осигурява активиране при стартиране на Windows.
Bagle.BC изтрива от Windows Registry вписванията, принадлежащи на други червеи, и най-вече на някои варианти на Netsky. Търси следните пътища:
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
за входове със следните текстови стрингове:
9XHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ Net, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, service, SkynetsRevenge, Special Firewall Service, SysMonXP, Tiny AV, Zone Labs Client Ex.
Така Bagle.BC е сигурен, че нито един от тях няма да почне да се изпълнява при стартиране на Windows.
Начин на предаване:
Darby.H се разпространява по e-mail и през рeer-to-peer (P2P) програми за sharing на файлове.
1. По e-mail.
Bagle.BC прави следното:
Стига до компютъра в съобщение с вариращи характеристики :
Sender:
Bagle.BC фалшифицира e-mail адреса, от който е бил изпратен. Това може да породи объркване.
Subject: някой от тези:
Re:
Re:Hello
Re:Hi
Re:Thank you!
Re:Thanks:)
Message: някое от :
:)
:))
Attachments:има вариращи имена и разширения:
Възможни имена: JOKE, PRICE.
Възможни разширения: COM, CPL, EXE, SCR.
Компютърът ще се зарази, когато бъде стартиран прикачения файл.
Bagle.BC търси e-mail адреси, съдържащи някое от следните разширения: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS и XML.
Bagle.BC се изпраща на всички намерени адреси, използвайки своя собствена SMTP машина.
Bagle.BC не се изпраща до адреси, съдържащи някои от следните текстови стрингове :
@avp., @foo, @hotmail, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar, winzip.
2. P2P програми за sharing на файлове.
Bagle.BC създава свои копия в директории, с име, което съдържа текстовия стринг "shar". Така прави опит да се копира в споделените директории на програмите за sharing на файлове P2P . Използва следните файлови имена:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Други потребители могат да достигат до тези директории и да записват файловете на компютрите си, мислейки че са полезни компютърни програми, филми и т.н. Всъщност, те си свалят копие на червея, който заразява компютъра при стартиране на сваления файл.
Допълнителни детайли:
Bagle.BC е с големина между 18 и 22 Kb и е компресиран с PeX.
Освен това Bagle.BC създава mutex, за да не позволи едновременното стартиране на две копия. Използва някое от следните имена, за да спре активирането на някои варианти на Netsky:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
"D",r",o",p",p",e",d",S"k",y",N",e",t"
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Заразен ли е компютърът ми?
За да сте абсолютно сигурни, че Bagle.BC не е заразил Вашия компютър, имате следните опции:
-Проверете дали сте получили съобщение с описаните по-горе характеристики.
-Сканирайте компютъра изцяло, използвайки антивирусен продукт на Panda, след като сте проверили дали програмата е обновила вирусните си дефиниции.
- Проверете компютъра с Panda ActiveScan, безплатният online скенер на Panda Software, който бързо ще открие всички възможни вируси - www.antivirus.bg.
Как да премахнете Bagle.BC?
Преди всичко, ако сте получили съобщение с описаните по-горе характеристики, не стартирайте прикачения файл и го изтрийте, включително и от папката Deleted Items.
Ако Panda Antivirus или Panda ActiveScan открие Bagle.BC по време на сканирането, автоматично ще Ви предложи опцията да го изтриете. Направете това, следвайки програмните инструкции.
Най-накрая възстановете оригиналната конфигурация на компютъра, като следвате инструкциите:
Изтрийте вписванията на Bagle.BC в Windows Registry:
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
wingo = %sysdir%wingo.exe
29.10.2004 07:05
Ключови думи:
|