Win32.Bagle.{F-H}@mm
( Win32.Beagle )| Propagation : | high | |
| Dégât : | low | |
| Size: | ~23000 bytes | |
| Détecté : | 2004 Feb 28 |
SYMPTOMS:
- The registry keysHKCU\Software\Microsoft\Windows\CurrentVersion\Run\rate.exe with value
"C:\Windows\System\i1ru54n4.exe"
HKCU\Software\winword\frun with value "1"
- Listening on port 2745.
- Presence of the following files:
C:\Windows\System\ii5nj4.exe, 1536 bytes
C:\Windows\System\go540o.exe, 24064 bytes
C:\Windows\System\i1ru54n4.exe, ~23889 bytes
C:\Windows\System\i1ru54n4.exeopen, ~23889 bytes
TECHNICAL DESCRIPTION:
The mass-mailer is aproximately 23000 bytes in length, comes as attachement in zipform with "store" method and password protected. It is packed with PeX.
It arrives in an email in the following format:
From: [forged email address]
Subject: [one of the following]
Hokki =)
Weah, hello! :-)
Weeeeee! ;)))
Hi! :-)
My Name is Frenk
groom
Fotograf
Photoalbum
My photoalbum
Myphotos
My photos
My beautiful person
beautiful
Wau... beautiful (-:
Gallery photos
caroline
Katrina
kleopatra
Caitie
Mary-Anne
Lisa
Bad girl
Julie
Aline
Anna
Barbi
Katrina
Juli
Mary
Mandy
Sara
rebecca
Jammie
kate
Audra
stacy
Rena
Kelley
Tammy
ello! =))
Hey, ya! =))
^_^ meay-meay!
^_^ meay-meay!
^_^ mew-mew (-:
Hey, dude, it\'s me ^_^ :P
Body: [one of the following]
Argh, i don't like the plaintext :)
Fell free to chat with me I accept all ages. Don''''t worry I don''''t bite........hope to hear from you soon!
If you are going to make me cry, at least be there to wipe away the tears *Right now the worst thing for you to tell me that I can find
someone better than you, especially when you are all I want
You don
t know what you
ve got till it
s gone *You hurt me more than I deserve, how can you be so cruel? I love you more than you deserve, how can I be such a fool?
I sit with elders of a gentle race, whose world is seldom seen.Who sit and talk of days for which they wait, when all will be revealed.
These are song lyrics.
I\'m a social butterfly and a natural flirt. Very hard to get my complete attention. Very open and will answer almost anything. But please
don't piss me off. I can be sweet and cuddly or a whatever mood I am in that day so everyday
Love the outdoors, literature, writing, and athletics
When The Trust is Gone So Is The Love That Fades Like the Rain Washing Away All The Sorrows Of Yesterday Why I Ask Myself Must It End Like
This Tomorrow, I Tell Myself, I\'ll Be Okay For Now, I\'ll Just Live In The Memories Of Our Life Together
I enjoy clean conversations but am open to conversing with women and men with little ones as well. I am very open-minded. All authorization
requests will be denied if I don't receive messages and get to know you first.
I love camping, dirt track racing, going for walks, and I have 2 cats - HotRod and Deebo (named from the movie 'Friday' and he lives up to
it!). Life is ever changing, never always easy...
i love to chat to just about anyone!!
If I'm online, it problably means I'm pretty bored....so feel free to message me and say hi or whatever else comes to mind at the moment.
Hey people whats goin on? If there is anything you want to know about me ask me... I am pretty easygoing I won't bite....not at first
anywayz hahaa.....one thing I will say on here tho I am not into the Cyber thing so don\'t even ask.....Ciao...
Hi! My name is Shreya and I am a goof off!!! So, If you love the outdoors, travelling, books, music, movies, laffing, teasing and/or can
poke fun at yourself... please come a hollerin'!!
I love to dance, read poetry, make people laugh, and hug as many people a day as i can.
Single Mom of 3, Full time college student, Graduate in December with an Associates of Applied Science in Computer Information Systems
Love the internet.
My hobbies include crochet, sewing, painting lead figures and playing AD&D. Favorite activities include fishing and camping. I love cats,
unicorns(go figure), and fantasy in general.
I like to be in a company of smart, delicate, and with a good sense of humor people. I am Bulgarian, currently getting my Master's in
International Business in USA. Favorite actor: Michael Dudikoff
i'm tall and skiny I'm studying in Pharm. D program in FL. i like music, movie, dancing, sports, SCUBA diving, traveling and make a lot
friends.
Nice friends, nice men, nice sex and feeling great. I don\'t mind the odd bout of cybersex as I love to use my imagination when I masterbate.
Hey, guys! by the way, I have no problems with my sexual life, so it's absolutly useless try to have icq sex or things like that. Thanks
I'm an open minded person and enjoy chatting w/ other people. I'm free and willing to chat about anything. So feel free to Imed me if you
wanna chat.
I love meeting new people and making new friends. I am a Mary Kay Beauty Consultant. I am married to a wonderful man. We have no children,
exept for a minature schnauzer that thinks he is a child. Looking forward to meeting you.
I am from Taiwan but I study in Camden, New Jersey now. I like to know people from different places .
I'm married and I stay at home. And I don't do cyber sex so leave me the fuck alone
Looking forward for a response :P
After one of these lines, one of the following will appear:
archive password:
password:
pass:
password for archive:
And after that, random bytes that will indeed be the password of the
zip file.
Attachment: [one of the following].zip
Picture
caroline
Katrina
kleopatra
Caitie
Mary-Anne
Lisa
Bad girl
Julie
Aline
Anna
Barbi
Katrina
Juli
Mary
Mandy
Sara
rebecca
Jammie
kate
Audra
stacy
Rena
Kelley
Tammy
myfotos
Gallery
It_I
Photoalbum
Photomontage
Note the .exe or .scr file in the zip archive may not have the same name as the
attachement, but a random chosen name from the above list.
Upon execution, it drops four files into \"C:\\Windows\\System\"
directory, with the following purposes:
- i1ru54n4.exe is the virus unzipped. A key will be inserted in the
registry so that the file will be executed at every operating system
restart.
- ii5nj4.exe, a file which has the purpose of executing go54o.exe.
Injected in the explorer.exe address space.
- go54o.exe is the main component of the virus. Handles all the
mass-mailing.
- i1ru54n4.exeopen is the still the unzipped version of the virus, as
opposed to the previous versions.
The worm checks the date and if the date is after 25 March 2005 the
worm will exit, deleting all registry entries.
The worm will create the registry keys described in the "Symptoms"
sections, and starts a backdoor that will listen for commands on the
port 2745.
The worm will create a mutex named "imain_mutex" and create a series
of threads, performing various functions:
- every 100 milliseconds kill all proces with the name:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE
- every 2000 milliseconds check if connected to internet.
- every aproximately 28 hours the worm will connect to the
following addresses under the name "beagle2_proclivity":
http://postertog.de
http://www.gfotxt.net
http://www.maiklibis.de
The worm will search the host computer for the filenames with the
following extensions, extracting email addresses from them:
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.adb
.sht
The worm will not send itself to addresses containing the following
strings:
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
The virus will search for directories on the harddisk whose names
contain "shar" and then copy itself to those directories under the
following names:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Porno pics arhive, xxx.exe
Serials.txt.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Matrix 3 Revolution English Subtitles.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
ACDSee 9.exe
Thus, the worm threatens the P2P networks as well.
Update: we received samples of yet another version, Win32.Bagle.G@mm. The functionality and manifestation of this version seems to be identical to that of Win32.Bagle.F@mm. The Free Removal Tool has been update to clean all versions of Bagle form C to G. Clean for the rest of the versions is available separately for download (search the description of Bagle.A/B@mm.)
Update #2: Win32.Bagle.H@mm is in sight. Technical differences:
- one of the registry entries has changed:
HKCU\Software\winword\frun with value "1" is now HKCU\Software\winexe, apparentely with no subkeys.
- dropped filenames have changed:
i1ru54n4.exe is now called i11r45n4.exe
ii5nj4.exe is now called i15n1j4.exe
go54o.exe is now called go154o.exe
- the user used to connect to the internet sites is now "544555"
- the subject possibilities have now shrunk to:
Hokki =)
Weah, hello! :-)
Weeeeee! ;)))
Hi! :-)
ello! =))
Hey, ya! =))
^_^ meay-meay!
^_^ meay-meay!
^_^ mew-mew (-:
Hey, dude, it's me ^_^ :P
- the body changed also to one of the following:
Argh, i don't like the plaintext :)
I don't bite, weah!
Looking forward for a response :P
- the password text changed to:
archive password: %s
password: %s
password -- %s
pass: %s
%s -- archive password
...btw, "%s" is a password for archive
password for archive: %s
- the attachement list of names is now:
Attach
TextDocument
Readme
MsgInfo
Document
Info
AttachedFile
AttachedDocument
TextDocument
Text
TextFile
Letter
MoreInfo
Message
Deactivation time remains 25 March 2005.
Removal instructions:
Automatic disinfection: let BD7 delete all files infected or download and run the Free Removal Tool.Manual disinfection: delete the keys in the registry, and then after restart delete files described in the "Symptoms" section.
ANALYZED BY:
Daniel Ionita Virus Researchere-Guides de Bitdefender
La série des e-Guides Bitdefender est une initiative didactique qui vise à fournir à la communauté des lecteurs et utilisateurs de Bitdefender des informations utiles sur les e-menaces et les problèmes de sécurité de l’univers informatique, tout en leur offrant également des conseils pratiques et des solutions viables répondant à leurs besoins de protection en ligne. Les analystes sécurité de Bitdefender partagent leurs connaissances sur la prévention, l’identification et la suppression des malwares, et en particulier sur la question de la vie privée en ligne et les différentes technologies, les défenses, et les méthodes de prévention contre la cybercriminalité.
Couvrant des sujets allant de la protection en ligne des enfants et de leur famille à la sécurisation des environnements professionnels, en passant par la sécurité sur les réseaux sociaux et à la prévention des pertes de données, la série des e-Guides s’adresse à une audience large de petites organisations et d’utilisateurs individuels préoccupés par la sécurité et la protection de leurs réseaux et de leurs systèmes. Les e-Guides traitent également des problèmes relatifs à l’activité quotidienne des responsables de la sécurité des systèmes informatiques, des administrateurs systèmes et réseaux, des développeurs de technologies de sécurité, des analystes et des chercheurs.
Comment bloguer en toute sécurité
Trucs et astuces sur comment sécuriser votre blog et votre identité
Le blog est un des moyens les plus populaires d’expression écrite sur le web, avec plus de 150 millions de blogs répertoriés dans le monde. Alors que des lecteurs réguliers cherchent des informations et articles, les escrocs y trouvent un intérêt tout différent. Ils sont à la recherche d’informations privées et d’espace de stockage à moindre coût pour leurs attaques. Ce ne sont que 2 exemples parmi tant d’autres d’intérêt pour les cyber-pirates.
Ce guide couvre les grandes lignes du « blogging » en toute sécurité et se concentre sur les blogs personnels, qu’ils soient eux-mêmes hébergés ou via des fournisseurs spécialisés.
Guide de sécurisation des réseaux sans fils
Trucs et astuces sur comment protéger votre réseau personnel des intrusions
Ce guide vous expliquera les meilleures pratiques quand on utilise des réseaux sans fil, mais aussi à configurer efficacement votre routeur ou point d’accès, pour prévenir de toute intrusion.
Ce document vise les utilisateurs d’ordinateurs qui ont déployé ou prévoient de déployer un réseau sans fil à la maison. Actuellement les moyens de communication sans fil deviennent de plus en plus importants dans nos vies, et les cybercriminels tentent d’exploiter toutes les failles de sécurité dans nos réseaux sans fil, afin d’intercepter le trafic et des informations ou utiliser notre connexion internet à des fins illégales.
Guide de protection des enfants en ligne
Comment sécuriser et protéger les activités numériques de vos enfants
Ce document est destiné aux familles, parents et enseignants, et son but est d’aider à sécuriser les activités numériques des enfants et adolescents. A une époque où la production de masse et l’accessibilité des ordinateurs ont répandu l’usage domestique de ces matériels, les enfants sont familiarisés avec les ordinateurs et Internet à un âge très précoce. En dépit des avantages indéniables qu’il présente en termes de communication, le Web peut aussi être un lieu dangereux, où des menaces visent directement leur classe d’âge et leurs ordinateurs, à la maison comme en classe.
Cet e-Guide traite des principaux risques et dangers auxquels sont exposés les enfants sur Internet : cyber-agression, exposition à des contenus déplacés, dépendance au web, et autres activités nocives, tout en mettant également l’accent sur des sujets comme le malware, le phishing, le vol d’identité et le spam, auxquels les adolescents, exactement comme les autres utilisateurs d’Internet, sont exposés aujourd’hui. La section Conseils de sécurité est destinée à aider parents et enseignants à mieux comprendre et faire face à ces problèmes concernant les enfants.
Guide de sécurité en ligne pour les internautes aux tempes grisonnantes
Comment protéger la propriété intellectuelle et financière des cyber-pirates
Ce document est destiné aux familles et aux seniors et son but est de les aider à naviguer sur le web en toute sécurité et à bien profiter de leurs activités en ligne.
Au premier abord, on pourrait avoir tendance à penser que les seniors sont exposés au cybercrime comme n’importe quels autres utilisateurs inexpérimentés d’Internet, quel que soit leur âge. Cependant, comme cet e-Guide le montre à travers plusieurs études de cas, les internautes aux tempes grisonnantes sont la cible de dangers spécifiques, concernant par exemple le paiement de leur pension, de fallacieuses méthodes de paiement des impôts ou des escroqueries financières. Des exemples, des astuces et des conseils complètent les situations décrites et fournissent aux lecteurs des recommandations utiles pour l’exercice de leurs occupations quotidiennes en ligne.
Guide de prévention de l’accès non autorisé aux données
Comment protéger la propriété intellectuelle et financière des cyber-pirates
Cet e-guide a été conçu pour répertorier les nombreux points sensibles de la sécurité des données de l’entreprise, de l’intégrité physique d’un réseau jusqu’aux mécanismes complexes du cybercrime qui prend les entreprises pour cible (chevaux de Troie visant les données bancaires, phishing, par exemple). Ces informations ont également pour objectif d’expliquer – bien que d’une manière moins détaillée que dans une documentation technique complète – en quoi les caractéristiques des différentes solutions Bitdefender pour particuliers et entreprises peuvent intéresser les administrateurs informatiques.
La consultation de ce document peut se révéler utile dans une démarche visant à décider de la meilleure solution de sécurité pour des réseaux de taille réduite ou moyenne. Son contenu constitue également une base solide pour des recherches comparatives ultérieures sur ce sujet.
Livres Blancs
- Préservez votre e-réputation sur Facebook
- Livre Blanc Facebook
- Technologie antivirus de Bitdefender
- B-HAVE, la route vers le succès (.pdf)
- Le véhicule ou le message ? Comment faire face au spam image, décembre 2006,Bulletin d’information sur les virus
- Lutter contre le Spam Image
- Technologie antispam NeuNet de Bitdefender
- Proactive security I body armor against business attacks
- Livre blanc des menaces émergentes contre la sécurité des entreprises
- Sécurisation contre l’inconnu - Technologie proactive B-HAVE de défense contre les menaces polyvalentes
- Sécurisation de e-mail - La première ligne de défense stratégique
- Nomenclature des virus. Le dilemme du « Qui est qui ? » (en anglais)
- Facebook РUne autre br̬che dans le mur
- Bitdefender Active Virus Control : protection proactive contre les menaces nouvelles et en germe
Rapports Bitdefender sur l'état des e-menaces
L’objectif de ce rapport est de fournir les résultats d'une enquête détaillée sur les menaces informatiques actuelles. Les experts en sécurité de Bitdefender® ont analysé et examiné en détail les menaces de chaque semestre, en se concentrant sur les vulnérabilités et exploits des logiciels, les différents types de malwares, mais aussi sur les mesures prises pour les combattre, la prévention contre le cybercrime, et l’application des lois. Ce rapport sur les e-menaces est principalement axé sur les dernières tendances, mais contient aussi des faits et données concernant les périodes d’investigation précédentes, ainsi que quelques prévisions concernant les prochains semestres. Ce document est surtout destiné aux responsables de la sécurité des systèmes d'information, aux administrateurs réseaux, aux développeurs de technologies de sécurité, aux analystes et chercheurs, mais il aborde également des problèmes intéressant une audience plus large, comme les petites entreprises et les particuliers soucieux de la sécurité et de l’intégrité de leurs réseaux et systèmes.
Zoom sur les malwares
Bien que corrigée en 2008, la fonctionnalité de détournement de l’Autorun continue à être la technologie des systèmes Windows la plus exploitée. La famille Autorun est suivie du ver Downadup (Conficker) qui constitue la deuxième emenace la plus destructrice du 2nd semestre 2011. Il est intéressant de noter que ces deux malwares continuent à faire des ravages alors que leur code n’a pas été mis à jour depuis des années et que les gangs de cybercriminels les ayant créés ont très probablement disparu.
Prévisions concernant les emenaces
L’année 2011 a été particulièrement riche en activités malveillantes. Elle a débuté sous le signe des détournements de données et des fuites d’informations en entreprises avec l’émergence de bots extrêmement sophistiqués tels que ZeroAccess et TDL4, et s’est achevée avec Duqu, « le fils de Stuxnet »
L’introduction de HTML5
Ce nouveau langage est actuellement pris en charge par les principaux navigateurs et offre de nouveaux niveaux d’interaction entre l’utilisateur et les sites Web. Si l’amélioration de l’interaction est le principal objectif du lancement d’une version majeure du populaire langage de balisage, les nouvelles fonctionnalités permettront aux cyber-escrocs de concevoir des scams plus efficaces contre les utilisateurs d’Internet via les « Notifications Web », de suivre les victimes avec les données de géolocalisation (en particulier si elles utilisent HTML5 sur leur smartphone) ou même, de lancer des attaques contre d’autres sites directement à partir du navigateur de la victime.
Télécharger Rapport sur les e-menaces au 2nd semestre 2011 (pdf)
Télécharger maintenant le résumé Résumé du rapport sur les e-menaces au second semestre 2011 (pdf)
Archive
2011
Télécharger Résumé du rapport sur les e-menaces au 1er semestre 2011 (pdf)
2010
Télécharger Résumé du rapport sur les e-menaces au 2ème semestre 2010 (pdf)
Télécharger Rapport sur les e-menaces au 2ème semestre 2010 (pdf)
Télécharger Résumé du rapport sur les e-menaces au 1er semestre 2010 (pdf)
Télécharger Rapport sur les e-menaces au 1er semestre 2010 (pdf)
2009
Télécharger Résumé du rapport sur le malware et le spam au 1er semestre 2009 (pdf)
Télécharger Rapport sur les e-menaces au 1er semestre 2009 (pdf)
Télécharger Rapport sur le malware et le spam au 2ème semestre 2009 (pdf)
Télécharger Résumé du rapport sur les e-menaces au 2ème semestre 2009 (pdf)
2008
Télécharger Rapport sur les e-menaces au 1er semestre 2008 (pdf)
Télécharger Rapport sur les e-menaces au 2ème semestre 2008 (pdf)
A qui s’adresser ? Vous trouverez ci-dessous la liste de tous nos porte-parole prêts à répondre à chacune de vos questions.
Responsable des relations publiques internationales
Coordinateur des relations publiques internationales
Asie- Pacifique & Amérique du Nord
Coordinateur des relations publiques internationales
Amérique latine & CEMEA (Europe centrale, Moyen-Orient et Afrique)
France, Benelux, Suisse