Crv W32/Bagle-AA
(28. travnja 2004.)
Primijećena je pojačana aktivnost crva W32/Bagle-AA za koji je Sophos Plc primio veći broj prijava otkrivanja. Qubis d.o.o. je do sada primio nekoliko dojava otkrivanja ovog crva u Hrvatskoj. Crv W32/Bagle-AA prepoznavat će Sophos Anti-Virus za lipanj 2004. (v.3.82), a objavljena definicija prepoznaje crva i u sažetom privitku (ZIP) sa zaporkom.
Instalacije svih korisnika koji koriste EMLibrary, PureMessage i/ili neki od paketa Sophos Small Business bile su dograđene automatski 28. travnja 2004. kada je objavljena prva inačica ove definicije. Svim ostalim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dopune hitnom dogradnjom za prepoznavanje ovog crva koju možete naći na http://www.sophos.com/downloads/ide/.
Win32/Bagle.AB, WORM_BAGLE.Z, I-Worm.Bagle.z
Širi se elektroničkom poštom.
Kada se pokrene crv će prikazati lažnu poruku "".
Elektronička poruka s inficiranom datotekom može sadržavati sljedeće dijelove:
| Pošiljatelj (From:) |
(slučajno odabrana adresa) |
| Primatelj (To:) |
(slučajno odabrana adresa) |
| Subjekt (Subject:) |
|
| Poruka (Message:) |
|
| Privitak (Attachment:) |
Naziv datoteke:
|
Kada se aktivira, može prikazati lažnu poruku "Can't find a viewer associated with the file" ("Ne mogu pronaći odgovarajući preglednik."), ali se crv aktivira. Na računalu pretražuje datoteke WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM i JSP datoteke iz kojih prikuplja elektroničke adrese na koje će poslati inficirane poruke.
Kreira sljedeću datoteku:
i u registry dodaje:
kako bi osigurao automatsko aktiviranje pri sljedećem pokretanju računala. U direktorije čiji naziv sadrži "shar" stavit će svoju kopiju pod jednim od sljedećih naziva:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Nastojat će zaustaviti sljedeće procese:
outpost.exe nmain.exe norton_internet_secu_3.0_407.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe nsched32.exe ntvdm.exe nvarch16.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe cleanpc.exe avprotect9x.exe cmgrdian.exe cmon016.exe cpf9x206.exe cpfnt206.exe cv.exe cwnb181.exe cwntdwmo.exe icssuppnt.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drwatson.exe ent.exe escanh95.exe avxquar.exe escanhnt.exe escanv95.exe avpupd.exe exantivirus-cnet.exe fast.exe firewall.exe flowprotector.exe fp-win_trial.exe frw.exe fsav.exe autodown.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe gbmenu.exe gbpoll.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe atupdater.exe aupdate.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe borg2.exe bs120.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe autoupdate.exe cfinet.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe autotrace.exe ndd32.exe neomonitor.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe nisserv.exe nisum.exe cfiaudit.exe lucomserver.exe agentsvr.exe anti-trojan.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atwatch.exe avconsol.exe avgserv9.exe avsynmgr.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe nwinst4.exe nwtool16.exe ostronet.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pavproxy.exe drwebupw.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pcdsetup.exe pcfwallicon.exe pcfwallicon.exe pcip10117_0.exe pdsetup.exe periscope.exe persfw.exe pf2.exe avltmain.exe pfwadmin.exe pingscan.exe platin.exe poproxy.exe popscan.exe portdetective.exe ppinupdt.exe drvsys.exe pptbc.exe ppvstop.exe procexplorerv1.0.exe proport.exe protectx.exe pspf.exe wgfe95.exe whoswatchingme.exe avwupd32.exe nupgrade.exe whoswatchingme.exe winrecon.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe cfinet32.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe cpd.exe cfgwiz.exe cfiadmin.exe purge.exe pview95.exe qconsole.exe qserver.exe rav8win32eng.exe regedt32.exe regedit.exe update.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe spyxx.exe ss3edit.exe st2.exe supftrl.exe luall.exe supporter5.exe symproxysvc.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe undoboot.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe cfiaudit.exe cfinet.exe icsupp95.exe mcupdate.exe cfinet32.exe clean.exe cleaner.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe zauinst.exe zonalm2601.exe zonealarm.exe
Windows 9X klasa (Windows 95, 98, ME):
preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)
pokrenite računalo u DOS
programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo
uklonite u registry-ju stavke koje postavlja crv
Windows NT-klasa (Windows NT, 2000, XP, 2003):
preuzmite IDE datoteke sa Sophosovih stranica za trenutno instliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo
uklonite u registry-ju stavke koje postavlja crv
zaštita na poslužiteljima elektroničke pošte
zabrana slanja/primanja izvršnih datoteka (.exe, .com, .bat, .cmd, .pif, .doc (macro), cpl, vbs, ...)
poduka krajnjih korisnika
| Širenje | |
| Elektroničkom poštom | R |
| Lažna adresa u polju 'From:' | R |
| Dijeljeni mrežni direktoriji | ? |
| 'Peer-2-peer' mreže | ? |
| Ostalo | ? |
| Aktivnost | |
| Zaustavlja Sophosove servise | Q |
| Mijenja registry | R |
| Kreira / mijenja datoteke | R |
| Omogućava backdoor pristup | Q |
| Otvara port | Q |
| Bilježi aktivnosti tipkovnice (KeyLogging) | Q |
| Automatski se obnavlja | Q |
| Uklanjanje | |
| Uklanjanjem (DOS ili Safe mode + cmd prompt) | R |
| Promjenom registry-ja | R |
| Čišćenjem datoteka | Q |
| Uklanjanjem datoteka | R |
| Zaštita | |
| Primjenom servisnog paketa ili sigurnosne zakrpe za OS ili napadnutu aplikaciju | ? |
| Filtriranjem sadržaja na proxy poslužitelju | Q |
| Filtriranjem sadržaja na poslužitelju elektroničke pošte | R |
| Aktiviranjem vatrozida | Q |
| Podukom korisnika o sigurnom korištenju Interneta | R |