| di G. D'Agrusa |
Rimuovere
W32.Beagle/Bagle.@mm |
Riservatezza
e Sicurezza |
|
|
| |
 |
Introduzione |
|
|
|
Aggiornato
il
19
maggio
2004
Introduzione
Il
18
marzo
è
stato
lanciato
un
allarme
di
livello
medio
per
la
propagazione
di
Beagle
o
Bagle
e
precisamente
la
variante
"Q".
Il
virus
frutta
alcune
falle
di
sicurezza
dei
sistemi
operativi
Windows
98,
Me,
NT,
2000
e
XP.
Caratteristiche
Questo
virus
è
abbastanza
particolare
puo
infettare
sia
con
un
allegato
oppure
senza.
La
sua
diffusione,
come
è
comprensibile,
avviene
via
posta
elettronica
con
allegati
di
circa
25
Kb
in
questo
caso
i
mittenti
delle
e-mail
sono
indirizzi
casuali,
loggetto
dell'email
del
tipo:
-
Password:
%s
-
Pass
-
%s
-
Password
-
%s
-
E-mail
account
security
warning.
-
Notify
about
using
the
e-mail
account.
-
Warning
about
your
e-mail
account.
-
Important
notify
about
your
e-mail
account.
-
Email
account
utilization
warning.
-
E-mail
technical
support
message.
-
E-mail
technical
support
warning.
-
Email
report
-
Important
notify
-
Account
notify
e
come
allegato;
ecco
alcuni
esempi:
Re:
Msg
reply
Re:
Hello
Re:
Thank
you!
Re:
Text
message
Re:
Yahoo!
Re:
Incoming
Fax,
Hidden
message,
Fax
Message
Received,
Protected
message
Re:
Protected
message,
Forum
notify,
Request
response,
Site
changes
Re:
Thanks
:)
Re:
Document,
Incoming
message
Ma
può
anche
veicolarsi
senza
allegati,
con
un
codice
HTML
nel
corpo
dell''email
in
cui
sono
presenti
dei
collegamenti
links
che
saranno
in
grado
di
infettare
il
sistema
il
momento
in
cui
verrà
visualizzato
il
messaggio,
facendo
partire
l'anteprima.
Questi
collegamenti
trovando
la
connessione
attiva
alla
Rete
Internet,
effettuano
il
download
di
un
programma
che
sarà
in
grado
di
infettare
il
sistema.
A
tal
proposito
si
consiglia
di
visitare
il
sito
della Microsoft e
leggere
il
bollettino
(in
inglese): Microsoft
Security
Bulletin
MS03-032 oppure
il
sito
di Trend
Micro (in
inglese)
e
leggere
la
scheda HTML_BAGLE.Q
 Non
tutti
i
virus
hanno
un
codice
nocivo
e
non
tutti
i
codici
nocivi
hanno
un'azione
distruttiva.-
alcuni
si
replicano
o
si
diffondono
solamente.
In
questo
caso
Bagle
apporta
delle
modifiche
al
sistema
ed
a
delle
chiavi
del
registro:
-
File
exe
del
worm: %SysDir%DIRECTS.EXE
-
Chiavi
di
registro:
HKEY_CURRENT_USERSoftwarewindirects
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
"directs.exe"
=
%Sysdir%directs.exe
Inoltre
il
Worm
tenta
di
terminare
tutta
una
serie
di
processi,
riportiamo
alcuni
processi
come
esempio:
CLEANER3.EXE
au.exe
d3dupdate.exe
CLEANPC.EXE
AVprotect9x.exe
CMGRDIAN.EXE
CMON016.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
In
ultimo
i
worm
copia
il
suo
codice
in
tutti
i
file
EXE
presenti
nel
sistema
(il
file
EXE
crescerà
di
26KB).
In
ultimo
il
31/12/2005
il
worm
cesserà
la
sua
attività
e
si
eliminerà
dall'avvio
automatico. |
Segnala errore sito
Articoli & Guide
