Beskrivelse:
W32.Bagle er en simpel e-mail orm, som indeholder ondsindede komponenter
der kan lede til kompromittering af inficerede systemer.
Skadevirkninger:
Downloade og eksekvere filer
Overbelastning af e-mail servere
Ormen dropper følgende fil til systemet:
[windows system mappen].bbeagle.exe
Ormen laver ændringer i registrerings databasen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[d3dupdat
e.exe]=%windows systemmappen%\bbeagle.exe
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"
Teknisk beskrivelse:
Den vedhæftede fil anvender et ikon, som er identisk med regnemaskinen i
Microsoft Windows. Hvis den vedhæftede fil åbnes, vil ormen køre filen
calc.exe, som er den legitime regnemaskine på den lokale maskine. Dette
sker for at dække over sit virkelige formål. I mens kopierer ormen sig
til windows system mappen under navnet bbeagle.exe.
Den lokale harddisk gennemsøges for brugbare e-mail adresser. Det sker
bl.a. ved at hente e-mail adresser fra følgende filtyper: .wab, .txt,
.htm samt .html. Samtlige e-mail adresser, som er lagret i disse filer,
vil modtage en kopi af W32.Bagle.worm.
Ormen indeholder en komponent, som kan give ondsindede personer adgang
til den inficerede maskine. Ormen forsøger at hente en bagdør fra flere
servere på internettet. Der er tale om en trojan.proxy server. Herefter
lytter bagdøren på TCP port 6777. En ondsindet person kan via en klient
forbinde sig til denne port og overtage kontrollen af maskinen.
Personen, eller personerne bag ormen, underrettes om et inficeret system
ved at W32.Bagle.worm forbinder sig til en række kompromitterede
websites, som primært befinder sig i Tyskland:
www.elrasshop.de, www.it-msc.de, www.getyourfree.net, www.dmdesign.de,
64.176.228.13,
www.leonzernitsky.com, 216.98.136.248, 216.98.134.247,
www.cdromca.com, www.kunst-in-templin.de, vipweb.ru, antol-co.ru,
www.bags-dostavka.mags.ru, www.5x12.ru, bose-audio.net,
www.sttngdata.de, wh9.tu-dresden.de,
www.micronuke.net,
www.stadthagen.org, www.beasty-cars.de, www.polohexe.de, www.bino88.de,
www.grefrathpaenz.de, www.bhamidy.de, www.mystic-vws.de,
www.auto-hobby-essen.de, www.polozicke.de, www.twr-music.de,
www.sc-erbendorf.de, www.montania.de, www.medi-martin.de, vvcgn.de,
www.ballonfoto.com, www.marder-gmbh.de, www.dvd-filme.com samt
www.smeangol.com.
Fælles for alle disse servere er, at der kaldes en php side med navnet
1.php (herfra hentes også en bagdør (proxy server). Når en inficeret
maskine besøger en af disse hjemmesider logges IP adressen og ondsindede
brugere, kan herefter forbinde sig til det inficerede system.
Koden indeholder sin egen SMTP server og danner udegående e-mails på
baggrund af følgende MIME format:
C o n t e n t -T yp e: t e x t / p l a i n; charset="us-ascii"..C o n
t e n t- T r a n s f e r - E n c o d i n g: 7bit.....----------%s..C o
n t e n t-T y p e: a p p l i c a t i o n / x - m s d o wn l o a d
; n a m e="[%%RAND%%].exe"..C o n t e n t - T r a n s f e r- E n c o
d i n g: b a s e 6 4..C o n t e n t- D i s p o s i t i o n : a t t a c
h m e n t; f i l e n a m
e="[%%RAND%%].exe".........----------%s--........ Test
=)..[%RAND%][%RAND%]..--..Test, yep
Hvert andet sekund undersøger ormen om den er forbundet til Internettet: