Win32.Bagle.AL@mm
| Raspandire : | mare | |
| Dauna : | mediu | |
| Size: | 14848 (dropper ), 19460 (main) | |
| Descoperit : | 2005 May 31 |
SYMPTOMS:
Presence of file %SYSTEM%\\WINdirect.exe.Presence of file %SYSTEM%\\windll.exe.
Presence of registry key HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\win_upd.exe = %SYSTEM%\\WINdirect.exe or
HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\win_upd.exe = %SYSTEM%\\WINdirect.exe.
Presence of registry key HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Ru1n.
TECHNICAL DESCRIPTION:
The worm comes in the form of a small file, that drops another file ( namely WINDirect.exe) in the %SYSTEM% directory.This file then tries to raise it\'s privilege level and then starts a thread in which it keeps looking at all the processes and when it finds one within a list ( in order to prevent updating an AV product or the use of a firewall ) it tries to terminate it. Then it starts another thread that tries to download the main part of the massmailer from a list of addresses, each 10 hours.
The main part of the worm creates mutexes named MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D, \'D\'r\'o\'p\'p\'e\'d\'S\'k\'y\'N\'e\'t\', -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_, [SkyNet.cz]SystemsMutex, AdmSkynetJklS003, ____--->>>>U<<<<--____ and _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ in order to prevent some Netsky versions from running.
It also tries to delete from the system startup registry keys any key that contains one from a list of strings ( such as \"FirewallSvr\", \"ICQNet\", \"My AV\" and so on ).
It also checks for files that may contain e-mail addresses in files of the type \"wab\",\"txt\",\"msg\",\"htm\",\"shtm\",
\"stm\",\"xml\",\"dbx\",\"mbx\",\"mdx\",\"eml\",\"nch\",\"mmf\",\"ods\",\"cfg\",\"asp\",\"php\" etc.
It uses it\'s own SMTP client implementation.
The mails it sends contain only the first dropper, called one of \"price\",\"price2\",\"price_new\",
\"price_08\",\"08_price\",\"newprice\",\"new_price\" in a .zip archive .
The mail body contains \"new price\". The archive may be encrypted, so the body of the mail contins the password. The mail has the subject empty.
This worm can also take advantage of P2P networks, as it tries to spread using the following names:
\'Microsoft Office 2003 Crack, Working!.exe\',
\'Microsoft Windows XP, WinXP Crack, working Keygen.exe\',
\'Microsoft Office XP working Crack, Keygen.exe\',
\'Porno, sex, oral, anal cool, awesome!!.exe\',
\'Porno Screensaver.scr\',
\'Serials.txt.exe\',
\'KAV 5.0\',
\'Kaspersky Antivirus 5.0\',
\'Porno pics arhive, xxx.exe\',
\'Windows Sourcecode update.doc.exe\',
\'Ahead Nero 7.exe\',
\'Windown Longhorn Beta Leak.exe\',
\'Opera 8 New!.exe\',
\'XXX hardcore images.exe\',
\'WinAmp 6 New!.exe\',
\'WinAmp 5 Pro Keygen Crack Update.exe\',
\'Adobe Photoshop 9 full.exe\',
\'Matrix 3 Revolution English Subtitles.exe\',
\'ACDSee 9.exe\'.
by copying into each folder that contains \'shar\'.
The worm also opens a connection that listents on port 80, but since this is the default port used by HTTP, this should not be used as an infection flag ( unless you are very sure you have no HTTP server installed ).
The complete list of processes it tries to kill:
FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
The complete list of sites it tries to download from:
134.102.228.45
196.12.49.27
213.188.129.72
64.62.172.118
abi-2004.org
advm1.gm.fh-koeln.de
alexey.pioneers.com.ru
alfinternational.ru
aus-Zeit.com
binn.ru
burn2k.ipupdater.com
carabi.ru
catalog.zelnet.ru
cavalierland.5u.com
celine.artics.ru
change.east.ru
colleen.ai.net
controltechniques.ru
dev.tikls.net
diablo.homelinux.com
dodgetheatre.com
dozenten.f1.fhtw-berlin.de
emnesty.w.interia.pl
emnezz.e-mania.pl
euroviolence.com
evadia.ru
fairy.dataforce.net
financial.washingtonpost.com
free.bestialityhost.com
gutemine.wu-wien.ac.at
herzog.cs.uni-magdeburg.de
home.profootball.ru
host.businessweek.com
host.wallstreetcity.com
host23.ipowerweb.com
hsr.zhp.org.pl
infokom.pl
kafka.punkt.pl
kooltokyo.ru
kypexin.ru
lars-s.privat.t-online.de
lottery.h11.ru
matzlinger.com
megion.ru
mmag.ru
molinero-berlin.de
momentum.ru
niebo.net
nominal.kaliningrad.ru
omegat.ru
ourcj.com
packages.debian.or.jp
pb195.slupsk.sdi.tpnet.pl
photo.gornet.ru
pixel.co.il
pocono.ru
polobeer.de
porno-mania.net
protek.ru
przeglad-tygodnik.pl
przeglad-tygodnik.pl
quotes.barchart.com
r2626r.de
rausis.latnet.lv
relay.great.ru
republika.pl
sacred.ru
sbuilder.ru
sec.polbox.pl
shadkhan.ru
silesianet.pl
silesianet.pl
slavarik.ru
sovea.de
spbbook.ru
strony.wp.pl
szm.sk
tarkosale.net
tdi-router.opola.pl
terramail.pl
thorpedo.us
traveldeals.sidestep.com
ultimate-best-hgh.0my.net
vip.pnet.pl
werel1.web-gratis.net
www.5100.ru
www.PlayGround.ru
www.aannemers-nederland.nl
www.abcdesign.ru
www.airnav.com
www.aktor.ru
www.ankil.ru
www.antykoncepcja.net
www.aphel.de
www.artics.ru
www.astoria-stuttgart.de
www.avant.ru
www.baltmatours.com
www.baltnet.ru
www.biratnagarmun.org.np
www.biysk.ru
www.boglen.com
www.bridesinrussia.com
www.busheron.ru
www.ccbootcamp.com
www.chat4adult.com
www.chelny.ru
www.ciachoo.pl
www.dami.com.pl
www.ddosers.net
www.dicto.ru
www.dilver.ru
www.dsmedia.ru
www.dynex.ru
www.elemental.ru
www.elit-line.ru
www.epski.gr
www.forbes.com
www.free-time.ru
www.gamma.vyborg.ru
www.gantke-net.com
www.gin.ru
www.glass-master.ru
www.glavriba.ru
www.gradinter.ru
www.hack-gegen-rechts.com
www.hbz-nrw.de
www.hgr.de
www.hgrstrailer.com
www.ifa-guide.co.uk
www.iluminati.kicks-ass.net
www.infognt.com
www.intellect.lvc
www.interfoodtd.ru
www.interrybflot.ru
www.inversorlatino.com
www.jewishgen.org
www.k2kapital.com
www.kefaloniaresorts.com
www.lamatec.com
www.landofcash.net
www.laserbuild.ru
www.math.kobe-u.ac.jp
www.mcschnaeppchen.com
www.mdmedia.org
www.met.pl
www.metacenter.ru
www.milm.ru
www.myrtoscorp.com
www.nefkom.net
www.neostrada.pl
www.neprifan.ru
www.netradar.com
www.no-abi2003.de
www.oldtownradio.com
www.omnicom.ru
www.oshweb.com
www.pakwerk.ru
www.perfectgirls.net
www.perfectjewel.com
www.peterstar.ru
www.pgipearls.com
www.phg.pl
www.porsa.ru
www.porta.de
www.rafani.cz
www.rastt.ru
www.republika.pl
www.republika.pl
www.rollenspielzirkel.de
www.rubikon.pl
www.rumbgeo.ru
www.rweb.ru
www.scli.ru
www.sdsauto.ru
www.sensi.com
www.silesianet.pl
www.sjgreatdeals.com
www.sposob.ru
www.strefa.pl
www.tanzen-in-sh.de
www.taom-clan.de
www.tayles.com
www.teatr-estrada.ru
www.teleline.ru
www.thepositivesideofsports.com
www.timelessimages.com
www.tuhart.net
www.vconsole.net
www.vendex.ru
www.virtmemb.com
www.vivamedia.ru
www.vrack.net
www.wapf.com
www.webpark.pl
www.webronet.com
www.webzdarma.cz
www.yarcity.ru
www.youbuynow.com
www.zeiss.ru
www.zelnet.ru
www.zhp.gdynia.pl
wynnsjammer.proboards18.com
yaguark.h10.ru
The complete list of keys it removes from HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
or HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run :
\"9XHtProtect\"
\"Antivirus\"
\"EasyAV\"
\"FirewallSvr\"
\"HtProtect\"
\"ICQ Net\"
\"ICQNet\"
\"Jammer2nd\"
\"KasperskyAVEng\"
\"MsInfo\"
\"My AV\"
\"NetDy\"
\"Norton Antivirus AV\"
\"PandaAVEngine\"
\"SkynetsRevenge\"
\"Special Firewall Service\"
\"SysMonXP\"
\"Tiny AV\"
\"Zone Labs Client Ex\"
\"service\"
The complete list of file types it looks into when searching for email addresses:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Removal instructions:
Please let Bitdefender handle the infected files.ANALYZED BY:
Alexandru Carp,Bitdefender Virus Researcher
Seria de ghiduri electronice Bitdefender
Seria de ghiduri electronice Bitdefender este o inițiativă de învățare care dorește să ofere comunității de utilizatori și cititori Bitdefender informații valoroase legate de amenințările electronice și probleme de securitate din domeniul IT&C, care oferă în același timp sfaturi practice și soluții viabile pentru nevoile lor de protecție online. Analiștii de securitate Bitdefender își partajează cunoștințele legate de prevenția malware, identificarea și anihilarea malware, cu accent pe confidențialitatea online și diferite tehnologii, măsurile de combatere și metodele de prevenție a infracțiunilor cibernetice.
Prezentarea unor subiecte care variază de la protecția online a copiilor și familiilor, rețelele sociale sigure, prevenirea încălcării securizării datelor și până la securizarea mediilor companiilor, seria ghidurilor electronice este destinată unei game largi de utilizatori din cadrul întreprinderilor mici și utilizatorilor individuali care doresc să asigure securitatea și integritatea propriilor rețele și sisteme. Ghidurile electronice se referă de asemenea la aspecte legate de activitatea zilnică a directorilor de securitate a sistemelor IT&C, a administratorilor de sistem și rețea, a creatorilor de tehnologie de securitate, a analiștilor și cercetătorilor.
Ghid privind un blog sigur
Sfaturi și trucuri despre cum să vă păstrați blog-ul și identitatea dumneavoastră în siguranță
Blogging-ul este unul dintre cele mai populare forme de exprimare în scris pe internet, cu mai mult de 150 de milioane de blog-uri înregistrate în întreaga lume. În timp ce cititorii fideli sunt în căutarea de informații și articole, infractorii cibernetici au un interes diferit față de acestea. Găsirea de informații private și obținerea de spațiu ieftin de stocare pentru campaniile lor malware sunt doar două din multitudinea de utilizări la care aceștia vă pot supune blog-ul.
Acest material se referă la orientările de bază privind siguranța blogging-ul și este axat în special pe blog-urile individuale, care sunt fie auto-găzduite sau furnizate ca un serviciu de către furnizorii importanți de blog-uri.
Ghid de securizare a rețelelor wireless
Sfaturi și trucuri despre cum să vă protejați rețeaua dumneavoastră de acasă de intruși
Acest document este destinat utilizatorilor de calculatoare care au instalat sau au intenția de a instala acasă o rețea wireless. Într-un moment când comunicarea wireless a devenit o parte importantă din viața noastră, infractorii cibernetici încearcă să exploateze orice breșă a securității din configurația wireless, în scopul de a intercepta traficul sau de a folosi conexiunea la internet în scopuri ilegale.
Următorul ghid vă va prezenta cele mai bune practici atunci când utilizați rețele wireless nesecurizate, precum și cum să configurați corect router-ul dumneavoastră de acasă sau punctul de acces, pentru a împiedica alte persoane să folosească în mod abuziv rețeaua dumneavoastră.
Ghidul de protejare a copiilor online
Modalitatea de securizare și protejare a experienței digitale a copiilor dumneavoastră
Prezentul document este destinat familiilor, părinților și profesorilor, scopul acestuia fiind de a contribui la securizarea activităților digitale ale copiilor și adolescenților. Într-o astfel de eră în care producția de masă și accesibilitatea computerelor au transformat aceste dispozitive în echipamente casnice sau de familie obișnuite, copiii se familiarizează cu PC-urile și internetul de la o vârstă foarte fragedă. În ciuda beneficiilor sale evidente legate de comunicare, internetul poate fi de asemenea un loc periculos pentru copiii, amenințările electronice fiind direcționate către grupul de vârstă din care fac parte și computerele acestora de acasă sau de la școală.
Acest ghid electronic se referă la principalele riscuri și amenințări ce vizează copiii online, cum ar fi atacurile din partea celorlalți utilizatori cibernetici, expunerea la conținut inadecvat, dependența de internet și alte acțiuni nocive online, axându-se în același timp pe teme cum ar fi malware, phishing, furtul de identitate și spam, la care sunt expuși adolescenții, la fel ca oricare alți utilizatori de internet. O secțiune dedicată recomandărilor de securitate îi ajută pe părinți și pe profesori să înțeleagă și să facă față mai bine acestor probleme legate de copii.
Ghidul de securitate online pentru utilizatorii de internet în vârstă
Modalitatea de protejare a ideilor și a bunurilor valoroase împotriva hacker-ilor cibernetici
Acest document este destinat familiilor și persoanelor mai în vârstă și scopul său este de a-i ajuta să navigheze pe internet într-o manieră sigură, bucurându-se de activitățile lor online.
La o primă vedere, se pare că persoanele mai în vârstă sunt expuse infracțiunilor cibernetice la fel ca orice alți utilizatori fără experiență ai internetului, indiferent de vârsta acestora. Cu toate acestea, după cum indică acest ghid electronic prin diferite studii de caz, există mai multe riscuri și amenințări care vizează direct utilizatorii de internet mai în vârstă, cum ar fi metodele de plată a pensiei și metodele false de plată a taxelor sau înșelătoriile legate de venituri. Exemplele, recomandările și sfaturile completează studiile de caz și asigură cititorilor linii directoare utile în rutina lor online zilnică.
Ghidul de prevenire a dezvăluirii datelor confidențiale
Modalitatea de protejare a ideilor și a bunurilor valoroase împotriva hacker-ilor cibernetici
Ghidul electronic a fost creat pentru a acoperi diferitele puncte mai sensibile ale securității datelor unei companii, de la integritatea fizică a rețelei și până la mecanismele complicate ale unei infracțiuni cibernetice care are drept țintă o companie (de exemplu, troieni, phishing ce vizează bănci). Acest material are de asemenea scopul de a prezenta, deși nu la fel de detaliat ca o descriere tehnică completă, funcțiile diferitelor soluții Bitdefender destinate clienților persoane fizice și juridice pe baza situațiilor în care aceste funcții pot fi utile administratorilor IT.
Consultarea acestui document poate fi utilă în cadrul procesului de luare a unei decizii optime referitoare la securitatea rețelelor de dimensiuni mici și medii și de stabilire a unei baze solide pentru cercetarea comparativă legată de acest subiect.
Documentație
- Whitepaper Facebook
- Tehnologia Bitdefender Antivirus
- B-HAVE, Drumul către Succes (.pdf)
- Mediul sau mesajul? Luptăm împotriva imaginilor spam, Decembrie 2006,Virus Bulletin
- Combaterea Imaginilor Spam
- Tehnologia Antispam Bitdefender NeuNet
- Proactive security I body armor against business attacks
- White paper-Amenințări Noi pentru Securitatea Companiilor
- Securitate împotriva necunoscutului Tehnologia Proactivă Bitdefender B-HAVE luptă împotriva diverselor amenințări
- Securitatea pentru E-Mail-Prima Linie de Apărare Strategică
- Denumirea virușilor. Dilema "Cine este cine?"
- Facebook – ÃŽncă o breșă în zid
- Tehnologia Bitdefender Active Virus Control: Protecție Proactivă Împotriva Amenințărilor Noi și Complexe
Rapoartele Bitdefender cu privire la peisajul amenințărilor cibernetice
Scopul acestui raport este de a furniza o investigaÈ›ie completă a peisajului amenințărilor. ExperÈ›ii în securitate Bitdefender® analizează cu foarte mare atenÈ›ie pericolele fiecărui semestru, punând accentul pe punctele vulnerabile È™i care pot fi exploatate ale software-ului, pe diferitele tipuri de malware, preum È™i pe contramăsuri, prevenirea atacurilor cibernetice È™i respectarea legii. Raportul peisajului amenințărilor cibernetice se concentrează în principal asupra celor mai noi trenduri, dar conÈ›ine, de asemenea, fapte È™i date cu privire la perioadele investigate anterior, precum È™i predicÈ›ii referitoare la semestrele care urmează. Acest document este adresat, n primul rând managerilor sistemelor de securitate IT&C, administratorilor de sistem È™i de reÈ›ea, dezvoltatorilor de tehnologie de securitate, analiÈ™tilor È™i cercetătorilor, dar se adresează, de asemenea, unei audienÈ›e mai largi, care cuprinde organizaÈ›ii mici È™i utilizatori individuali care sunt preocupaÈ›i de siguranÈ›a È™i integritate reÈ›elelor È™i sistemelor personale.
Raportul peisajului amenințărilor cibernetice H2 2011 (pdf)
Twenty years ago, a revolutionary means of electronic communication was born. It would become so popular with all ages and professions that it is still the most used data communication mechanism even today: introducing the SMS – the short message service.
Today, mobile phones are more than bulky gadgets that can move voice and messages from one point to another: they are must-have gear in a World 2.0 – so powerful and so complex, running their own operating systems and, consequently, facing their share of cyber-trouble. While the first six months of 2011 were marked by software vulnerabilities and high-profile data breaches, the second half cast the spotlight on not only a new family of malware, but also uncovered a user espionage scandal that apparently involved an array of mobile phone carriers and the controversial software vendor CarrierIQ.
Peisajul amenințărilor malware a fost dominat de Trojan.Autorun.Inf și Win32.Worm.Downadup, doi rivali periculoși, care își au rădăcinile în era Windows XP, dar au reușit să-și mențină locul în clasament în ciuda îmbunătățirilor aduse sistemelor de operare sau a aplicării pachetelor care ar trebui să rezolve problemele de securitate exploatate de aceste programe malware. Concurenții de top pentru H2 2011 sunt Trojan.AutorunInf, Win32.Worm.Downadup și Exploit.CplLnk.
Data breaches attributed to the Anonymous gang and its satellite hacking groups continued throughout the second half of 2011. Among the most important targets were Mitsubishi Heavy Industries, Adidas, RIM, Tiroler Gebietskrankenkasse, Nexon and even the United Nations. Corporate trust also came under close scrutiny, as the DigiNotar incident in H1 2011 exposed unwary users to a massive phishing attack that used stolen digital certificates generated for high-profile institutions and government agencies such as Google, Tor, CIA and Israel’s Secret Service, the Mossad.
Social networks have also played a key role in disseminating malware and spreading fake news about the deaths of high-profile personalities such as Muammar Gaddafi or Steve Jobs. Of particular importance were the malicious campaigns built around the alleged movie of Gaddafi’s execution and the commemorative giveaway in honor of the late Steve Jobs.
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2011 (pdf)
Download now the executive summary Raportul peisajului amenințărilor cibernetice H2 2011 - Rezumat executiv (pdf)
Arhivă
2011
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2011 - Rezumat executiv (pdf)
2010
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2010 - Rezumat executiv (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2010 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2010 - Rezumat executiv (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2010 (pdf)
2009
Descărcați acum Sumarul analizei executive referitor la malware și mesaje spam H1 2009 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2009 (pdf)
Descărcați acum Analiza programelor malware și mesajelor de tip spam H2 2009 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2009 - Rezumat executiv (pdf)
2008
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2008 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2008 (pdf)
La cine puteți apela? Mai jos vă este prezentată o listă cu toți reprezentanții noștri media care sunt gata să vă răspundă la întrebări.
Manager Global Relații Publice