Bagle.HB

Létrehozva: 2008-02-29, 17:31:00

Utolsó frissítés: 2009-11-09, 16:45:28

Platform: Win32

Típus: féreg

Méret: 57935

Dátum: 2006-12-01

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Bagle.HB féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Beagle-NH
AVG	I-Worm/Bagle.OH
Avira	TR/Bagle.Gen.B
BitDefender	Win32.Beagle.FF@mm
e-Trust	Win32/Bagle.EL
F-PROT	W32/Mitglieder.UX
Fortinet	W32/Bagle.GS@mm
F-Secure	Email-Worm.Win32.Bagle.gs
Ikarus	Email-Worm.Win32.Bagle.gs
Kaspersky	Email-Worm.Win32.Bagle.gs

vírusvédelem	elnevezés
McAfee	W32/Bagle.gen(Virus)
NOD32 (ESET)	Win32/Bagle.HB
Microsoft	Win32/Bagle.A
Norton Antivirus	W32.Beagle.FF@mm
Panda	W32/Bagle.KR.worm
Rising Antivirus	Worm.Mail.Agent.br
Sophos	W32/Bagle-QT
Trend Micro	WORM_BAGLE.GS
VirusBuster	Trojan.DL.Bagle.LB

Telepítés:

Egyes vírusok, férgek a telepítést megelőzően, illetve a telepítés során, esetleg a számítógép sikeres megfertőzését követő első újraindítás alkalmával valamilyen látványos tevékenységet végeznek. Ennek a célja - azon kívül, hogy felhívják magukra a figyelmet - az, hogy az felhasználói interaktívitással (egy billentyűlenyomás vagy egérkattintás) megnehezítsék a kártékony kód automatikus feldolgozását virtuális környezetben.

Az aktivizálódást követően a Win32/Bagle.HB féreg megpróbálja elindítani a(z) Notepad.exe programot.

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Bagle.HB féreg a merevlemez(ek) főkönyvtárában létrehozza az alábbi fájlokat:

error.txt
temp.zip

A Win32/Bagle.HB féreg az alábbi fájlokat hozza létre:

C:\Documents and Settings\<user>\Application Data\hidn\hidn2.exe
C:\Documents and Settings\<user>\Application Data\hidn\hldrrr.exe
C:\Documents and Settings\<user>\Application Data\hidn\m_hook.sys

Megjegyzés: A leírásban szereplő <user> a felhasználó nevét jelöli.

A Win32/Bagle.HB féreg a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "drv_st_key"="C:\Documents and Settings\<user>\Local Settings\Application Data\hidn\hidn2.exe"
[HKEY_CURRENT_USER\Software\FirstRuxzx] "FirstRu21n"="1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]

Annak érdekében, hogy egy féreg, vírus egy esetlegesen a megtámadott számítógépen lévő másik károkozó működését korlátozni tudja, ezért a képesek arra, hogy a rendszerleíró adatbázisból a másik vírusra vagy féregre vonatkozó bejegyzéseket töröljék. Előfordulhat az is, hogy így próbálják elejét venni, hogy egy alkalmazás (például vírusvédelem vagy tűzfal) a gép újraindításával aktivizálódjon.

A rendszerleíró adatbázisból a(z) [ HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot] bejegyzést törli.

Megjegyzés: A leírásban szereplő <user> a felhasználó nevét jelöli.

A vírusok, férgek képesek arra, hogy megpróbálják a vírusvédelmi, illetve tűzfalakhoz tartozó folyamatokat leállítani. Ennek kettős célja van: egyrészt megnehezítik, hogy a felhasználó tudomást szerezzen a fertőzésről, másrészt egy esetleges hátsóajtó komponens kijutását is könnyebbé tehetik. Megtehetik azt is, hogy bizonyos, az internetre irányuló forgalmat elterelnek, egyes oldalak elérését megakadályozzák.

A Win32/Bagle.HB féreg leállítja az alábbi folyamatokat:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
a2guard.exe
aavshield.exe
teljes lista...

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
a2guard.exe
aavshield.exe
AckWin32.exe
ADVCHK.EXE
AhnSD.exe
airdefense.exe
ALERTSVC.EXE
ALMon.exe
ALOGSERV.EXE
ALsvc.exe
amon.exe
Anti-Trojan.exe
AntiVirScheduler
AntiVirService
ANTS.EXE
APVXDWIN.EXE
Armor2net.exe
ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashMaiSv.exe
ashPopWz.exe
ashServ.exe
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
aswUpdSv.exe
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
avciman.exe
Avconsol.exe
AVENGINE.EXE
avgamsvr.exe
avgcc.exe
AVGCC32.EXE
AVGCTRL.EXE
avgemc.exe
avgfwsrv.exe
AVGNT.EXE
avgntdd
avgntmgr
AVGSERV.EXE
AVGUARD.EXE
avgupsvc.exe
avinitnt.exe
AvkServ.exe
AVKService.exe
AVKWCtl.exe
AVP.EXE
AVP32.EXE
avpcc.exe
avpm.exe
AVPUPD.EXE
AVSCHED32.EXE
avsynmgr.exe
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BackWeb-4476822.exe
bdmcon.exe
bdnews.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdswitch.exe
blackd.exe
blackice.exe
cafix.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccSetMgr.exe
CFIAUDIT.EXE
ClamTray.exe
ClamWin.exe
Claw95.exe
Claw95cf.exe
cleaner.exe
cleaner3.exe
CliSvc.exe
CMGrdian.exe
cpd.exe
DefWatch.exe
DOORS.EXE
DrVirus.exe
drwadins.exe
drweb32w.exe
drwebscd.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
ewidoctrl.exe
EzAntivirusRegistrationCheck.exe
F-AGNT95.EXE
FAMEH32.EXE
FAST.EXE
FCH32.EXE
FireSvc.exe
FireTray.exe
FIREWALL.EXE
fpavupdm.exe
F-PROT95.EXE
freshclam.exe
FRW.EXE
fsav32.exe
fsavgui.exe
fsbwsys.exe
F-Sched.exe
fsdfwd.exe
FSGK32.EXE
fsgk32st.exe
fsguiexe.exe
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
fspex.exe
fssm32.exe
F-StopW.EXE
gcasDtServ.exe
gcasServ.exe
GIANTAntiSpywareMain.exe
GIANTAntiSpywareUpdater.exe
GUARD.EXE
GUARDGUI.EXE
GuardNT.exe
HRegMon.exe
Hrres.exe
HSockPE.exe
HUpdate.EXE
iamapp.exe
iamserv.exe
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
INETUPD.EXE
InocIT.exe
InoRpc.exe
InoRT.exe
InoTask.exe
InoUpTNG.exe
IOMON98.EXE
isafe.exe
ISATRAY.EXE
ISRV95.EXE
ISSVC.exe
JEDI.EXE
KAV.exe
kavmm.exe
KAVPF.exe
KavPFW.exe
KAVStart.exe
KAVSvc.exe
KAVSvcUI.EXE
KMailMon.EXE
KPfwSvc.EXE
KWatch.EXE
livesrv.exe
LOCKDOWN2000.EXE
LogWatNT.exe
lpfw.exe
LUALL.EXE
LUCOMSERVER.EXE
Luupdate.exe
MCAGENT.EXE
mcmnhdlr.exe
mcregwiz.exe
Mcshield.exe
MCUPDATE.EXE
mcvsshld.exe
MINILOG.EXE
MONITOR.EXE
MonSysNT.exe
MOOLIVE.EXE
MpEng.exe
mpssvc.exe
MSMPSVC.exe
myAgtSvc.exe
myagttry.exe
navapsvc.exe
NAVAPW32.EXE
NavLu32.exe
NAVW32.EXE
NDD32.EXE
NeoWatchLog.exe
NeoWatchTray.exe
NISSERV
NISUM.EXE
NMAIN.EXE
nod32.exe
nod32krn.exe
nod32kui.exe
NORMIST.EXE
notstart.exe
npavtray.exe
NPFMNTOR.EXE
npfmsg.exe
NPROTECT.EXE
NSCHED32.EXE
NSMdtr.exe
NssServ.exe
NssTray.exe
ntrtscan.exe
NTXconfig.exe
NUPGRADE.EXE
NVC95.EXE
Nvcod.exe
Nvcte.exe
Nvcut.exe
NWService.exe
OfcPfwSvc.exe
OUTPOST.EXE
PAV.EXE
PavFires.exe
PavFnSvr.exe
Pavkre.exe
PavProt.exe
pavProxy.exe
pavprsrv.exe
pavsrv51.exe
PAVSS.EXE
pccguide.exe
PCCIOMON.EXE
pccntmon.exe
PCCPFW.exe
PcCtlCom.exe
PCTAV.exe
PERSFW.EXE
pertsk.exe
PERVAC.EXE
PNMSRV.EXE
POP3TRAP.EXE
POPROXY.EXE
prevsrv.exe
PsImSvc.exe
QHM32.EXE
QHONLINE.EXE
QHONSVC.EXE
QHPF.EXE
qhwscsvc.exe
RavMon.exe
RavTimer.exe
Realmon.exe
REALMON95.EXE
Rescue.exe
rfwmain.exe
Rtvscan.exe
RTVSCN95.EXE
RuLaunch.exe
SAVAdminService.exe
SAVMain.exe
savprogress.exe
SAVScan.exe
SCAN32.EXE
ScanningProcess.exe
sched.exe
sdhelp.exe
SERVIC~1.EXE
SHSTAT.EXE
SiteCli.exe
smc.exe
SNDSrvc.exe
SPBBCSvc.exe
SPHINX.EXE
spiderml.exe
spidernt.exe
Spiderui.exe
SpybotSD.exe
SPYXX.EXE
SS3EDIT.EXE
stopsignav.exe
swAgent.exe
swdoctor.exe
SWNETSUP.EXE
symlcsvc.exe
SymProxySvc.exe
SymSPort.exe
SymWSC.exe
SYNMGR.EXE
TAUMON.EXE
TBMon.exe
TC.EXE
tca.exe
TCM.EXE
TDS-3.EXE
TeaTimer.exe
TFAK.EXE
THAV.EXE
THSM.EXE
Tmas.exe
tmlisten.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
TNBUtil.exe
TRJSCAN.EXE
Up2Date.exe
UPDATE.EXE
UpdaterUI.exe
upgrepl.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
VBSNTW.exe
vchk.exe
vcrmon.exe
VetTray.exe
VirusKeeper.exe
VPTRAY.EXE
vrfwsvc.exe
VRMONNT.EXE
vrmonsvc.exe
vrrw32.exe
VSECOMR.EXE
Vshwin32.exe
vsmon.exe
vsserv.exe
VsStat.exe
WATCHDOG.EXE
WebProxy.exe
Webscanx.exe
WEBTRAP.EXE
WGFE95.EXE
Winaw32.exe
winroute.exe
winss.exe
winssnotify.exe
WRADMIN.EXE
WRCTRL.EXE
xcommsvr.exe
zatutor.exe
ZAUINST.EXE
zlclient.exe
zonealarm.exe
vissza...

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Bagle.HB féreg a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A Win32/Bagle.HB féreg az alábbi kiterjesztésű fájlokban keres e-mail címeket:

wab
txt
msg
htm
shtm
teljes lista...

Az összeállított e-mail üzenetek felépítése az alábbi:

Feladó	A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
Címzett	A féreg az e-mail üzeneteket az összegyűjtött címekre küldi el. Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre: @avp. @iana @messagelab abuse admin teljes lista... @avp. @iana @messagelab abuse admin anyone@ bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ linux listserv local nobody@ noone@ noreply ntivi panda postmaster@ rating@ root@ samples sopho support update winrar winzip vissza...
Tárgy	A levél lehetséges tárgyai: new <date> price price_<date> price_new<date> new <date> price price_<date> price_new<date>
Melléklet	A féreg által elküldött e-mail lehetséges mellékletei: latest_price<date> new_price<date> price<date> price_list<date> latest_price<date> new_price<date> price<date> price_list<date> A féreg által elküldött e-mail mellékletének nevét véletlenszerű karakterekből állítja össze. Az e-mail melléklete titkosított. A jelszó a levéltörzsben lévő képen látható. A jelszót tartalmazó képfájl nevét véletlenszerűen hozza létre. A jelszót tartalmazó képfájl "gif" kiterjesztésű.

Megjegyzés: A leírásban szereplő <Date> az aktuális dátumot jelöli a számítógépen.

Támadás az interneten

Sok vírus, féreg képes arra, hogy az interneten támadást indítson más számítógépek ellen, lehetetlenné téve azok használatát.

A féreg megkísérel az alábbi webcímekre csatlakozni:

1point2.iae.nl
5050clothing.com
appaloosa.no
apromed.com
arborfolia.com
teljes lista...

1point2.iae.nl
5050clothing.com
appaloosa.no
apromed.com
arborfolia.com
areal-realt.ru
art4u1.superhost.pl
art-bizar.foxnet.pl
asdesign.cz
aufbau-bautzen.de
autovorota.ru
avenue.ee
axelero.hu
bartex-cit.com.pl
bazarbekr.sk
bid-usa.com
biliskov.com
biomedpel.cz
bitel.ru
blackbull.cz
bohuminsko.cz
bonsai-world.com.au
bpsbillboards.com
cadinformatics.com
calamarco.com
canecaecia.com
ceramax.co.kr
charlesspaans.com
chatsk.wz.cz
checkalertusa.com
chittychat.com
cibernegocios.com.ar
cof666.shockonline.net
comaxtechnologies.net
compucel.com
concellodesandias.com
continentalcarbonindia.com
dev.jintek.com
dogoodesign.ch
donchef.com
erich-kaestner-schule-donaueschingen.de
esellerate.net
foxvcoin.com
ftp-dom.earthlink.net
gnu.univ.gda.pl
grupdogus.de
hostmaster.world.Q
hotchillishop.de
ilikesimple.com
innovation.ojom.net
jintek.com
jonogueira.com
kisalfold.com
kljbwadersloh.de
knickimbit.de
kopretiny.ic.cz
kremz.ru
massgroup.de
microsoft.com
ohio-state.edu
otravel.ru
ouarzazateservices.com
pawlacz.com
point2.iae.nl
poliklinika-vajnorska.sk
prime.gushi.org
smtp.mail.ru
stats-adf.altadis.com
svatba.viskot.cz
systemforex.de
ujscie.one.pl
uwua132.org
vanvakfi.com
vega-sps.com
vidus.ru
viralstrategies.com
vivamodelhobby.com
vkinfotech.com
vpilots.org
vproinc.com
vytukas.com
waisenhaus-kenya.ch
watsrisuphan.org
wbecanada.com
web-comp.hu
webfull.com
welvo.com
wvpilots.org
www.artbed.pl
www.aureaorodeley.com
www.autoekb.ru
www.castnetnultimedia.com
www.chapisteriadaniel.com
www.cort.ru
www.crfj.com
www.iarsn.com
www.kersten.de
www.kljbwadersloh.de
www.voov.de
www.walsch.de
www.wchat.cz
www.wg-aufbau-bautzen.de
www.wzhuate.com
xotravel.ru
yeniguntugla.com
yetii.no-ip.com
zebrachina.net
zsnabreznaknm.sk
vissza...