Red beanie

Predmet správy, v ktorej Win32/Bagle.GM prichádza môže byť jeden z nasledujúcich:

 

 

 

Ales

 

Alice

 

Alyce

 

Andrew

 

Androw

 

Androwe

 

Ann

 

Anna

 

Anne

 

Annes

 

Anthonie

 

Anthony

 

Anthonye

 

Avice

 

Avis

 

Bennet

 

Bennett

 

Constance

 

Cybil

 

Daniel

 

Danyell

 

Dorithie

 

Dorothee

 

Dorothy

 

Edmond

 

Edmonde

 

Edmund

 

Edward

 

Edwarde

 

Elizabeth

 

Elizabethe

 

Ellen

 

Ellyn

 

Emanual

 

Emanuel

 

Emanuell

 

Ester

 

Frances

 

Francis

 

Fraunces

 

Gabriell

 

Geoffraie

 

George

 

Grace

 

Harry

 

Harrye

 

Henrie

 

Henry

 

Henrye

 

Hughe

 

Humphrey

 

Humphrie

 

Christean

 

Christian

 

Isabel

 

Isabell

 

James

 

Jane

 

Jeames

 

Jeffrey

 

Jeffrye

 

Joane

 

Johen

 

John

 

Josias

 

Judeth

 

Judith

 

Judithe

 

Katherine

 

Katheryne

 

Leonard

 

Leonarde

 

Margaret

 

Margarett

 

Margerie

 

Margerye

 

Margret

 

Margrett

 

Marie

 

Martha

 

Mary

 

Marye

 

Michael

 

Mychaell

 

Nathaniel

 

Nathaniell

 

Nathanyell

 

Nicholas

 

Nicholaus

 

Nycholas

 

Peter

 

Ralph

 

Rebecka

 

Richard

 

Richarde

 

Robert

 

Roberte

 

Roger

 

Rose

 

Rycharde

 

Samuell

 

Sara

 

Sidney

 

Sindony

 

Stephen

 

Susan

 

Susanna

 

Suzanna

 

Sybell

 

Sybyll

 

Syndony

 

Thomas

 

Valentyne

 

William

 

Winifred

 

Wynefrede

 

Wynefreed

 

Wynnefreede

 

 

 

Z tohto zoznamu je i meno archívu v prílohe. Obsahuje spustiteľný súbor s červom. Archív je chránený heslom, ktoré sa nachádza v priloženom obrázku.

 

 

 

Telo správy môže začínať jedným z týchto oslovení:

 

 

 

To the beloved

 

I love you

 

 

 

Ďalej správa pokračuje jedným z týchto textov:

 

 

 

The password is

 

Password --

 

Use password to open archive.

 

Password is

 

Zip password:

 

archive password:

 

Password -

 

Password:

 

 

 

Win32/Bagle.GM sa pri prvom spustení skopíruje do adresára C:\Documents and Settings\username\Application Data\hidn pod názvom hidn.exe. V tom istom adresári vytvorí aj súbor m_hook.sys. Súbor m_hook.sys zabezpečuje maskovanie červa v systéme. Používa pri tom techniky tzv. Rootkitov.

 

 

 

Automatické spúšťanie pri štarte systému si zabezpečí vytvorením položky databázy Registry s názvom drv_st_key v kľúči HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Jej hodnotu nastavuje na C:\Documents and Settings\username\Application Data\hidn\hidn.exe každých 5 minút.

 

 

 

Ďalej vytvorí súbor C:\error.gif obsahujúci text Error. Červ potom tento obrázok otvorí predvoleným prehliadačom obrázkov.

 

 

 

Červ sa pokúša ukončiť a zakázať nasledujúce služby:

 

 

 

Aavmker4

 

ABVPN2K

 

ADBLOCK.DLL

 

ADFirewall

 

AFWMCL

 

Ahnlab task Scheduler

 

alerter

 

AlertManger

 

AntiVir Service

 

AntiyFirewall

 

ARP.DLL

 

aswMon2

 

aswRdr

 

aswTdi

 

aswUpdSv

 

Ati HotKey Poller

 

avast! Antivirus

 

avast! Mail Scanner

 

avast! Web Scanner

 

AVEService

 

AVExch32Service

 

AvFlt

 

Avg7Alrt

 

Avg7Core

 

Avg7RsW

 

Avg7RsXP

 

Avg7UpdSvc

 

AvgCore

 

AvgFsh

 

AVGFwSrv

 

AvgFwSvr

 

AvgServ

 

AvgTdi

 

AVIRAMailService

 

AVIRAService

 

avpcc

 

AVUPDService

 

AVWUpSrv

 

AvxIni

 

awhost32

 

backweb client-4476822

 

backweb client - 4476822

 

BackWeb Client - 7681197

 

Bdfndisf

 

bdftdif

 

bdss

 

BlackICE

 

BsFileSpy

 

BsFirewall

 

BsMailProxy

 

CAISafe

 

ccEvtMgr

 

ccPwdSvc

 

ccSetMgr

 

ccSetMgr.exe

 

CONTENT.DLL

 

DefWatch

 

DNSCACHE.DLL

 

drwebnet

 

dvpapi

 

dvpinit

 

ewido security suite control

 

ewido security suite driver

 

ewido security suite guard

 

F-Prot Antivirus Update Monitor

 

F-Secure Gatekeeper Handler Starter

 

firewall

 

fsbwsys

 

FSDFWD

 

FSFW

 

FSMA

 

FTPFILT.DLL

 

FwcAgent

 

fwdrv

 

Guard NT

 

HSnSFW

 

HSnSPro

 

HTMLFILT.DLL

 

HTTPFILT.DLL

 

IMAPFILT.DLL

 

InoRPC

 

InoRT

 

InoTask

 

Ip6Fw

 

Ip6FwHlp

 

KAVMonitorService

 

KAVSvc

 

KLBLMain

 

KPfwSvc

 

KWatch3

 

KWatchSvc

 

MAILFILT.DLL

 

McAfee Firewall

 

McAfeeFramework

 

McShield

 

McTaskManager

 

mcupdmgr.exe

 

MCVSRte

 

Microsoft NetWork FireWall Services

 

MonSvcNT

 

MpfService

 

navapsvc

 

NDIS_RD

 

Ndisuio

 

Network Associates Log Service

 

nipsvc

 

NISSERV

 

NISUM

 

NNTPFILT.DLL

 

NOD32ControlCenter

 

NOD32krn

 

NOD32Service

 

Norman NJeeves

 

Norman Type-R

 

Norman ZANDA

 

Norton AntiVirus Server

 

NPDriver

 

NPFMntor

 

NProtectService

 

NSCTOP

 

nvcoas

 

NVCScheduler

 

nwclntc

 

nwclntd

 

nwclnte

 

nwclntf

 

nwclntg

 

nwclnth

 

NWService

 

OfcPfwSvc

 

Outbreak Manager

 

Outpost Firewall

 

OutpostFirewall

 

PASSRV

 

PAVAGENTE

 

PavAtScheduler

 

PAVDRV

 

PAVFIRES

 

PAVFNSVR

 

Pavkre

 

PavProc

 

PavProt

 

PavPrSrv

 

PavReport

 

PAVSRV

 

PCC_PFW

 

PCCPFW

 

PersFW

 

Personal Firewall

 

POP3FILT.DLL

 

PREVSRV

 

PROTECT.DLL

 

PSIMSVC

 

qhwscsvc

 

Quick Heal Online Protection

 

ravmon8

 

RfwService

 

SAVFMSE

 

SAVScan

 

SBService

 

SECRET.DLL

 

SharedAccess

 

schscnt

 

SmcService

 

SNDSrvc

 

SPBBCSvc

 

SpiderNT

 

SweepNet

 

SWEEPSRV.SYS

 

Symantec AntiVirus Client

 

Symantec Core LC

 

T_H_S_M

 

The_Hacker_Antivirus

 

tm_cfw

 

Tmntsrv

 

TmPfw

 

tmproxy

 

tmtdi

 

V3MonNT

 

V3MonSvc

 

Vba32ECM

 

Vba32ifs

 

Vba32Ldr

 

Vba32PP3

 

VBCompManService

 

VexiraAntivirus

 

VFILT

 

VisNetic AntiVirus Plug-in

 

vrfwsvc

 

vsmon

 

VSSERV

 

WinAntivirus

 

WinRoute

 

wscsvc

 

wuauserv

 

xcomm

 

 

 

E-mailové adresy na ďalšie šírenie získava Win32/Bagle.GM zo súborov na pevnom

 

disku, ktoré majú jednu z prípon:

 

 

 

.adb

 

.asp

 

.cfg

 

.cgi

 

.dbx

 

.dhtm

 

.eml

 

.htm

 

.jsp

 

.mbx

 

.mdx

 

.mht

 

.mmf

 

.msg

 

.nch

 

.ods

 

.oft

 

.php

 

.pl

 

.sht

 

.shtm

 

.stm

 

.tbb

 

.txt

 

.uin

 

.wab

 

.wsh

 

.xls

 

.xml

 

 

 

Neposiela sa však na adresy, ktoré obsahujú niektorý z týchto reťazcov:

 

 

 

..

 

.@

 

@.

 

@avp.

 

@foo

 

@iana

 

@messagelab

 

abuse

 

admin

 

anyone@

 

bsd

 

bugs@

 

cafee

 

certific

 

contract@

 

f-secur

 

feste

 

free-av

 

gold-certs@

 

google

 

help@

 

icrosoft

 

info@

 

kasp

 

linux

 

listserv

 

local

 

news

 

nobody@

 

noone@

 

noreply

 

ntivi

 

panda

 

pgp

 

postmaster@

 

rating@

 

root@

 

samples

 

sopho

 

spam

 

support

 

unix

 

update

 

winrar

 

winzip

 

 

 

Každé 2 hodiny sa červ snaží stiahnuť súbor z jednej z 99 adries. Uloží ho ako %system%\re_file.exe a následne spustí.

 

 

 

NOD32 detegoval Win32/Bagle.GM rozšírenou heuristikou bez potreby aktualizácie vzoriek. Detekcia červa Win32/Bagle.GM vzorkou bola doplnená od verzie 1.1611.

 

 

 

Poznámka: V ďalšom texte je namiesto mena adresára, v ktorom je nainštalovaný operačný systém Windows, ktorý sa z pochopiteľných dôvodov môže líšiť pri každej jednotlivej inštalácii použitý symbolický zápis %windir%. Podadresár System alebo System32 v adresári %windir% je označovaný ako %system%.

 

 

Warning: imagecolorallocate(): supplied argument is not a valid Image resource in /home/nhost/public_html/hostings/zlk/index.php on line 3

 

‰PNG

 

IHDRÜcpĎPLTE„‚„DFD„,*,„DÄ$„dd¤Ě&$¤|ÄĆÄ4

D

´"$4d

t´ä&,Śt´¬Ş¬„

śäćä4´$ô.4dfdDTÔ"$¬ô*,tśžś”„¤$Ě&,¬ä*,t”

üţüTŚŽŚTVTŚ<:

t<|

|ĽT|Ľ|ĽşĽôňôtrtLÜ"$|ś¬$Ü&,´ě*,ś

\–ś5ëIDATX…Ő—

WÚ0†ŻCŤL·NQ'ş(•Q&SÁF´ŠÓ9eŘůn6ő˙˙ŽÝ4M“ť@ů8Ţ”äm¸ÉésSš Ą“%図ʮ%¨ÔáVdéńŤň«´m}“mCËGmcč-ܶŤˇGĺ®1˙ĎC)đ«w‚#qňS´Núë±…sP ^9Č&­Ýś•Öq®×Ž2q§†OÎ+>ŁĽŁ'@ŹZ’:ÎŽmű¶ď;ľ}Rŕ&đNsŤŤň{żfűc

çKî#믭‡ĆđýË&¶á» 5|ć\ůůIĺő=zĚĐ’ÔyȆŹGθ˙…(AÉÍuáx˙eÓ0rc

W UX®T

ĺoŽ•×cDhT‡R $I]’

–çńŁ’Z¶<˲ř‰Źźxü««%l2Ŕ\Żçą?

3žË‹ĺZěz

Ďk`{µ€®Äľđ0¦Ů7Ęk1"

?Y®ż; sL»y A„Fę7!.ár3A맍·›AgßpňžäpD¤čF \;ů±C¤VjDé1E"¸ľ¶c wáňŞÝ¤·ú‚vĽ:Ç´O6ÔQE˛ů‰pSÇzĄVWÚI‰ţaŔ Ă}9ú Ž®Şoţ)J­<•¶BCűÝŽ!Őŕ˛TÂm¬jpq_Čş'Z¨§Ów-ˇ§VţkKéńKŘ=\Äô

piT2źŐĘź¦•¶ç¤ë{;.~B‡;Ž~| śY{*™aŮťĆ: