W32/Bagle-H@mm, I-Worm.Bagle.h
HINWEIS: W32/Bagle-H versendet sich als kennwortgeschützte ZIP-Datei, die von dieser IDE nicht erkannt wird. Wenn die Datei von dem Anwender entpackt wird, wird der Wurm jedoch von Sophos Anti-Virus auf dem Desktop des Anwenders erkannt.
W32/Bagle-H ist ein E-Mail-Wurm, der sich über seine eigene SMTP-Engine an Adressen sendet, die er auf der Festplatte des befallenen Computers gefunden hat. Der Wurm sucht nach Dateien mit den Erweiterungen WAB, TXT, HTM, XML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP,
PHP, PL, ADB, TBB und SHT und entpackt mit diesen Dateien die E-Mail-Adressen des Empfängers und des Senders (dies ist der Grund, warum die Sender-E-Mail-Adresse gefälscht ist).
Wenn er ausgeführt wird, kopiert sich der Wurm als i11r54n4.exe in den Windows-Systemordner und erstellt die folgenden Dateien im selben Ordner:
i1i5n1j4.exe - ein DLL-Plugin zum Laden von go154o.exe
go154o.exe - die hauptsächliche DLL-Komponente des Wurms
i11r54n4.EXEOPEN - eine Kopie des Wurms in kennwortgeschütztem ZIP-Format
W32/Bagle-H fügt folgenden Wert:
rate.exe = <SYSTEM>\i11r54n4.exe
zu folgendem Registrierungsschlüssel hinzu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Dies bedeutet, dass W32/Bagle-H startet, sobald Sie sich an Ihrem Computer anmelden.
Die E-Mails haben folgende Merkmale:
Betreffzeilen:
<
Hokki =)
Weah, hello! :-)
Weeeeee!
))Hi! :-)
:-)
:)
ello! =))
Hey, ya! =))
^_^ meay-meay!
^_^ mew-mew (-:
Hey, dude, it's me ^_^ :P
Text:
Der Text wird aus folgenden Sätzen zusammengefügt:
Argh, i don't like the plaintext
I don't bite, weah!
Looking forward for a response :P
und
archive password: <zrandom_password_for_the_zip_archive>
password: <random_password_for_the_zip_archive>
password -- <random_password_for_the_zip_archive>
pass: <random_password_for_the_zip_archive>
<random_password_for_the_zip_archive> -- archive password
...btw, "<random_password_for_the_zip_archive>" is a password for archive
password for archive: <random_password_for_the_zip_archive>
Angehängte Datei (Erweiterung ZIP):
Attach
TextDocument
Readme
Msg
MsgInfo
Document
Info
AttachedFile
AttachedDocument
TextDocument
Text
TextFile
Letter
MoreInfo
Message
W32/Bagle-H öffnet eine "Backdoor" an Port 2745 und wartet auf Verbindungen. Wenn er einen entsprechenden Befehl erhält, versucht er, eine Datei herunterzuladen und auszuführen. W32/Bagle-H baut außerdem eine Internetverbindung zu einer remoten URL auf, und meldet so den Standort und den offenen Port von infizierten Computern.
W32/Bagle-H versucht, verschiedene Antiviren- und sicherheitsbezogene Prozesse zu beenden:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE
W32/Bagle-H sucht auf verknüpften Laufwerken nach Ordnern, in deren Namen die Zeichenfolge "shar" enthalten ist. Wenn ein solcher Ordner gefunden wird, kopiert sich der Wurm dorthin unter Verwendung der folgenden Dateinamen:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Wenn das aktuelle Datum später als der 25. März 2005 ist, beendet sich W32/Bagle-H selbst und löscht alle Registrierungseinträge, die er erstellt hat, als er erstmals gestartet wurde.
SitemapIndex