W32/Tanx-A Bagle Alua worm virus antivirus sophos qubis

W32/Tanx-A
(18. veljače 2004.)

Registrirana je aktivnost crva W32/Tanx-A za koji je Sophos Plc primio nekoliko prijava otkrivanja. Qubis d.o.o. je do sada primio mali broj dojava otkrivanja ovog crva u Hrvatskoj. Crv W32/Tanx-A prepoznavat će Sophos Anti-Virus za travanj 2004. (v.3.80).

Instalacije svih korisnika koji koriste EMLibrary, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 17. veljače 2004., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv

Alias

Win32/Bagle.B, Bagle.B, W32/Bagle.b@MM, W32.Alua@mm, WORM_BAGLE.B

Način širenja

Širi se elektroničkom poštom kao privitak s nastavkom .EXE i sličicom programa 'Sound recorder'. Koristi vlastiti SMTP mehanizam. Programiran je tako da 25. veljače prestane sa automatskim širenjem.

Aktivnosti / Simptomi / Posljedice

Elektronička poruka s inficiranom datotekom može sadržavati sljedeće dijelove:

Pošiljatelj (From:)

(slučajno odabrana adresa)

Primatelj (To:)

(slučajno odabrana adresa)

Subjekt (Subject:)

ID <slučajno odabrani znakovi>... thanks

Poruka (Message:)

Yours ID <slučajno odabrani znakovi>
--
Thank

Privitak (Attachment:)

<slučajno odabrani znakovi>.exe

Kada se pokrene pristigla .EXE datoteka, automatski se aktivira program "sndrec32.exe". Na računalu pretražuje datoteke WAB, TXT, HTM i HTML i iz njih uzima elektroničke adrese.

Kreira sljedeće datoteke:

%SystemFolder%\au.exe

U registry dodaje:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ au.exe = %SystemFolder%\au.exe
HKCU \ Software \ Windows2000

U potonji stavlja dodatne podatke o infekciji.

Otvara port 8866 koji može omogućiti napadaču izvana pristup inficiranom računalu ili obnovu crva. Crv pristupa stranicama

www.47df.de
www.strato.de
intern.games-ring.de

i ostavlja dodatne informacije o infekciji.

Uklanjanje

Windows 9X klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)
pokrenite računalo u DOS
programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo

Windows NT-klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo

Zaštita od infekcije

zatvaranje porta 8866 tamo gdje nije potrebno da bude aktivan
zaštita na poslužiteljima elektroničke pošte
zabrana slanja/primanja izvršnim datotekama (.exe, .com, .bat, .cmd, ...)
poduka krajnjih korisnika

Ostalo

Sophos - Podaci o crvu

Sažetak svojstava

Širenje
E-Mail	R
Network share	Q
P2P	Q
Ostalo	Q
Aktivnost
Zaustavlja Sophos	Q
Mijenja registry	R
Kreira / Mijenja datoteke	R
Otvara backdoor	R
Otvara port	R
KeyLogging	Q
Automatska obnova	?
Uklanjanje
Čišćenje / Uklanjanje (DOS / Safe mode + Cmd prompt)	R
Promjena registry-ja	R
Čišćenje datoteka	Q
Uklanjanje datoteka	R
Zaštita
Zakrpa	?
Filtriranje sadržaja na proxy poslužitelju	Q
Vatrozid (port: 8866)	R
Poduka korisnika	R