W32/Bagle-K w32baglek bagle worm virus antivirus sophos qubis

W32/Bagle-K
(4. ožujka 2004.)

Sophos nas je obavijestio o pojačanoj aktivnosti crva W32/Bagle-K za koji je primio nekoliko prijava otkrivanja. Qubis d.o.o. je do sada primio manji broj dojava otkrivanja ovog crva u Hrvatskoj. W32/Bagle-K prepoznavat će Sophos Anti-Virus za travanj 2004. (v.3.80).

Instalacije svih korisnika koji koriste EMLibrary, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 3. ožujka 2004, kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Sophos je 4. ožujka 2004. objavio IDE datoteku koja omogućava prepoznavanje ZIP datoteka zaštićenih zaporkom koje kreira ovaj crv.

Vrsta

Win32 crv

Alias

I-Worm.Bagle.j, W32.Beagle.A@mm, WORM_BAGLE.GEN

Način širenja

Širi se elektroničkom poštom kao privitak. Kod ovog crva naročito je opasna činjenica da često dolazi kao privitak u obliku ZIP datoteke zaštićene zaporkom, a zaporka je navedena u tekstu poruke. Na taj način crv prolazi kroz većinu antivirusnih programa na poslužiteljima elektroničke pošte jer ih administratori namjerno namještaju tako da propuštaju poruke u tom obliku kako bi ipak omogućili promet dokumentima.

Aktivnosti / Simptomi / Posljedice

Elektronička poruka s inficiranom datotekom može sadržavati sljedeće dijelove:

Pošiljatelj (From:)

management@nekadomena.xyz
administration@nekadomena.xyz
staff@nekadomena.xyz
noreply@nekadomena.xyz
support@nekadomena.xyz

Primatelj (To:)

(slučajno odabrana adresa)

Subjekt (Subject:)

E-mail account security warning
Notify about using the e-mail account.
Warning about your e-mail account.
Important notify about your e-mail account.
Email account utilization warning.
Notify about your e-mail account utilization.
E-mail account disabling warning.

Poruka (Message:)

Poruka se generira od kombinacije sljedećih grupa teksta:

Dio 1

Dear user of nekadomena.xyz
Dear user of nekadomena.xyz e-mail server gateway,
Dear user of e-mail server nekadomena.xyz",
Hello user of nekadomena.xyz e-mail server,
Dear user of nekadomena.xyz" mailing system,
Dear user, the management of nekadomena.xyz mailing system wants to let you know that,

Dio 2

Your e-mail account has been temporary disabled because of unauthorized access. Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

Dio 3

For more information see the attached file.
Further details can be obtained from attached file.
Advanced details can be found in attached file.
For details see the attach.
For details see the attached file.
For further details see the attach.
Please, read the attach for further details.
Pay attention on attached file.

Dio 4

For security reasons attached file is password protected. The password is "<zaporka>".
For security purposes the attached file is password protected. Password is "<zaporka>".
Attached file is protected with the password for security reasons. Password is "<zaporka>.
In order to read the attach you have to use the following password: "<zaporka>.

Dio 5

The Management,
Sincerely,
Best wishes,
Have a good day,
Cheers,
Kind regards,

Dio 6

The nekadomena.xyz team http://www.nekadomena.xyz

Privitak (Attachment:)

U većini slučajeva privitak dolazi u obliku ZIP datoteke zaštićene zaporkom. Naziv datoteke se tvori uglavnom od sljedećih riječi:

Attach
Information
Readme
Document
Info
TextDocument
Text
MoreInfo
Message

Ako krajnji korisnik ipak ide otvoriti sumnjivu poruku, pokrenuti ZIP privitak, potražiti zaporku u tekstu poruke, upisati ju i time napokon pokrene EXE koji se nalazi unutra crv će se aktivirati, a daljnja aktivnost slična je aktivnosti ostalih crva iz ove obitelji. Ostavlja sljedeće datoteke s tijelom crva u mape koje u nazivu imaju riječcu 'Shar' (npr. "C:\Program files\Common files\Microsoft shared"):

Microsoft Office 2003 Crack, Working!.exe

Microsoft Office XP working Crack, Keygen.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Porno Screensaver.scr

Porno, sex, oral, anal cool, awesome!!.exe

Porno pics arhive, xxx.exe

Serials.txt.exe

Windown Longhorn Beta Leak.exe

Windows Sourcecode update.doc.exe

XXX hardcore images.exe

Opera 8 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Matrix 3 Revolution English Subtitles.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

ACDSee 9.exe

Zaustavlja sljedeće procese:

ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE

Na određenu URL lokaciju će staviti podatak o adresi inficiranog računala.

Uklanjanje

Crv će se automatski deaktivirati nakon 25. travnja 2005. godine kojom prilikom će ukloniti svoje tragove iz registryja.

Windows 9X klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)
pokrenite računalo u DOS
programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo

Windows NT-klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo

Zaštita od infekcije

zatvaranje porta 8866 tamo gdje nije potrebno da bude aktivan
zaštita na poslužiteljima elektroničke pošte
zabrana slanja/primanja izvršnim datotekama (.exe, .com, .bat, .cmd, ...)
poduka krajnjih korisnika

Ostalo

Sophos - Podaci o crvu

Sažetak svojstava

Širenje
Elektroničkom poštom	R
Lažna adresa u polju 'From:'	R
Dijeljene mrežne mape	Q
'Peer-2-peer' mreže	R
Ostalo	Q
Aktivnost
Zaustavlja Sophosove servise	R
Mijenja registry	R
Kreira / mijenja datoteke	R
Omogućava backdoor pristup	R
Otvara port (2745)	R
Bilježi aktivnosti tipkovnice (KeyLogging)	Q
Automatski se obnavlja	?
Uklanjanje
Uklanjanjem (DOS ili Safe mode + cmd prompt)	R
Promjenom registry-ja	R
Čišćenjem datoteka	Q
Uklanjanjem datoteka	R
Zaštita
Primjenom servisnog paketa ili sigurnosne zakrpe za OS ili napadnutu aplikaciju	?
Filtriranjem sadržaja na proxy poslužitelju	Q
Filtriranjem sadržaja na poslužitelju elektroničke pošte	R
Aktiviranjem vatrozida (port: 2745)	R
Podukom korisnika o sigurnom korištenju Interneta	R