I-Worm.Bagz.g

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 167КБ, упакован UPX. Размер распакованного файла около 200КБ.

Инсталляция
После запуска червь создает в системном каталоге Windows следующие файлы:

C:\WINDOWS\SYSTEM32\sysinfo32.exe
C:\WINDOWS\SYSTEM32\trace32.exe
Также червь копирует себя в системный каталог Windows с именем:

C:\WINDOWS\SYSTEM32\sqlssl.doc      .exe
Затем червь создает запись в системном реестре:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Xuy v palto]
Размножение через email
Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.

TBB
tbb
TBI
tbi
DBX
dbx
HTM
htm
TXT
txt
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
@foo
@iana
@messagelab
@microsoft
abuse
admin
administrator@
all@
anyone@
bsd
bugs@
cafee
certific
certs@
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
google
help@
hostmaster@
icrosoft
info@
kasp
linux
listserv
local
netadmin@
news
nobody@
noone@
noreply
ntivi
oocies
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
support@
unix
update
webmaster@
winrar
winzip
 

Характеристики зараженных писем
Тема письма:
Выбирается из списка:

ASAP
Administrator
Allert!
Amirecans
Att
attach
attachments
best regards
contract
Have a nice day
Hello
Money
office
please responce
re: Andrey
re: order
re: please
Read this
Russian's
text
toxic
urgent
Vasia
waiting
Warning
 

Текст письма:
Выбирается из списка:

Did you get the previous document I attached for you?
I resent it in this email just in case, because I
really need you to check it out asap.
Best Regards

Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give me
your opinion on this opportunity when you get a chance.
Best Regards

Hi
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your family if possible.
It contains important info for both of you.

Hi
Sorry, I forgot to send an important
document to you in that last email. I had an important phone call.
Please checkout attached doc file when you have a moment.
Best Regards

Hi
I was in a rush and I forgot to attach an important
document. Please see attached doc file.
Best Regards,

Sorry to bother you, but I am having a problem receiving your emails.
I am responding to your last email in the attached file.
Please get back to me if there is any problem reading the attachment.

I am responding to your last email in the attached file.
I had a delivery problem with your inbox, so maybe you'll receive this now.

Can you please check out the email I have attached?
For some reason, I received only part of your last several emails.
I want to make sure that there are no problems with either of our accounts.

This email is being sent as attachment because
it was previously blocked by your email filters.
Please view the attachment and respond.
Thanks

I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks

I apologize, but I need you to verify
that I have the correct contact info for you.
My system crashed last weekend and
I lost most of my friends and work contacts.
Please check the attached (.pdf) and
please let me know if your info is current.

My last email to you was returned.
The reason is that I am not currently
added to your allowed contact list.
Please add my updated contact info
provided in the attached (.pdf) file
so I can send you emails in the future.
Sincerely

I have updated my email address
See the (.pdf) file attached and
please respond if you have any questions.

We have made recent updates to our database.
Please verify your mailing address on file is correct.
We have attached a (.pdf) sheet for you to use for your response.

Hello
Our contact information has changed.
See the attached (.pdf) sheet for details.
Sincerely,

***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has been
temporarily suspended for 24 hours unless we are contacted regarding
this situation.
You must read the attached document for further
instructions. Failure to comply will result in termination of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized as spam.
This means your email was not delivered to your friend or client.
You must open the attached file to receive more information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

Hello,
What version of windows you are using?
This last document I received from you came out weird.
Please see the attached word file and resend the file to me.
Many thanks,
User

Hello,
My PC crashed while I was sending that last email.
I have re-attached the document of yours that I discovered.
Please read attached document and respond ASAP.
Sincerely,
User

Hello,
Your email was sent in an INVALID format.
To verify this email was sent from you,
simply open the attached email (.eml) file
and click yes in the sender options box.
Thank You,
User

Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User

Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User

Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,User

Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely, User

Имя файла-вложения:
Выбирается из списков:

about.zip
admin.zip
archivator.zip
archives.zip
ataches.zip
backup.zip
docs.zip
documentation.zip
help.zip
inbox.zip
manual.zip
outbox.zip
payment.zip
photos.zip
rar.zip
readme.zip
save.zip
zip.zip

about.doc     .exe
admin.doc     .exe
archivator.doc     .exe
archives.doc    .exe
ataches.doc    .exe
backup.doc     .exe
docs.doc    .exe
documentation.doc    .exe
help.doc    .exe
inbox.doc    .exe
manual.doc    .exe
outbox.doc    .exe
payment.doc    .exe
photos.doc    .exe
rar.doc    .exe
readme.doc    .exe
save.doc    .exe
sqlssl.doc    .exe
zip.doc    .exe
Действие
I-Worm.Bagz.g изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст, запрещая доступ к следующим ресурсам:

127.0.0.1 ad.doubleclick.net 
127.0.0.1 ad.fastclick.net 
127.0.0.1 ads.fastclick.net 
127.0.0.1 ar.atwola.com 
127.0.0.1 atdmt.com 
127.0.0.1 avp.ch 
127.0.0.1 avp.com 
127.0.0.1 avp.ru 
127.0.0.1 awaps.net 
127.0.0.1 banner.fastclick.net 
127.0.0.1 banners.fastclick.net 
127.0.0.1 ca.com 
127.0.0.1 click.atdmt.com 
127.0.0.1 clicks.atdmt.com 
127.0.0.1 dispatch.mcafee.com 
127.0.0.1 download.mcafee.com 
127.0.0.1 download.microsoft.com 
127.0.0.1 downloads.microsoft.com 
127.0.0.1 engine.awaps.net 
127.0.0.1 fastclick.net 
127.0.0.1 f-secure.com 
127.0.0.1 ftpf-secure.com 
127.0.0.1 ftpsophos.com 
127.0.0.1 go.microsoft.com 
127.0.0.1 liveupdate.symantec.com 
127.0.0.1 localhost
127.0.0.1 mast.mcafee.com 
127.0.0.1 mcafee.com 
127.0.0.1 media.fastclick.net 
127.0.0.1 msdn.microsoft.com 
127.0.0.1 my-etrust.com 
127.0.0.1 nai.com 
127.0.0.1 networkassociates.com 
127.0.0.1 office.microsoft.com 
127.0.0.1 phx.corporate-ir.net 
127.0.0.1 secure.nai.com 
127.0.0.1 securityresponse.symantec.com 
127.0.0.1 service1.symantec.com 
127.0.0.1 sophos.com 
127.0.0.1 spd.atdmt.com 
127.0.0.1 support.microsoft.com 
127.0.0.1 symantec.com 
127.0.0.1 update.symantec.com 
127.0.0.1 updates.symantec.com 
127.0.0.1 us.mcafee.com 
127.0.0.1 vil.nai.com 
127.0.0.1 viruslist.ru 
127.0.0.1 windowsupdate.microsoft.com 
127.0.0.1 wwwavp.ch 
127.0.0.1 wwwavp.com 
127.0.0.1 wwwavp.ru 
127.0.0.1 wwwawaps.net 
127.0.0.1 wwwca.com 
127.0.0.1 wwwfastclick.net 
127.0.0.1 wwwf-secure.com 
127.0.0.1 wwwkaspersky.ru 
127.0.0.1 wwwmcafee.com 
127.0.0.1 wwwmy-etrust.com 
127.0.0.1 wwwnai.com 
127.0.0.1 wwwnetworkassociates.com 
127.0.0.1 wwwsophos.com 
127.0.0.1 wwwsymantec.com 
127.0.0.1 wwwtrendmicro.com 
127.0.0.1 wwwviruslist.ru 
127.0.0.1 www3.ca.com
Червь удаляет из системного реестра ключи, содержащие следующие строки:

804mbd1.chk
804mbd1.img
aboutplg.dll
alert.zap
appinit.ini
apwcmdnt.dll
apwutil.dll
ashavast.exe
ashbug.exe
ashchest.exe
ashdisp.exe
ashldres.dll
ashlogv.exe
ashmaisv.exe
ashpopwz.exe
ashquick.exe
ashserv.exe
ashsimpl.exe
ashskpcc.exe
ashskpck.exe
aswboot.exe
aswregsvr.exe
aswupdsv.exe
avcompbr.dll
avres.dll
bootwarn.exe
camupd.dll
ccavmail.dll
ccimscan.dll
ccimscn.exe
cerbprovider.pvx
cfgwiz.exe
cfgwzres.dll
defalert.dll
djsalert.dll
dunzip32.dll
edisk.dll
email.zap
emscnres.dll
filter.zap
firewall.zap
framewrk.dll
ftscnres.dll
idlock.zap
imscnbin.inf
imscnres.inf
ltchkres.dll
mcappins.exe
mcavtsub.dll
mcinfo.exe
mcmnhdlr.exe
mcscan32.dll
mcshield.dll
mcshield.exe
mcurial.dll
mcvsctl.dll
mcvsescn.exe
mcvsftsn.exe
mcvsmap.exe
mcvsrte.exe
mcvsscrp.dll
mcvsshl.dll
mcvsshld.exe
mcvsskt.dll
mcvsworm.dll
mghtml.exe
mpfagent.exe
mpfconsole.exe
mpfservice.exe
mpftray.exe
mpfupdchk.dll
mpfwizard.exe
mvtx.exe
n32call.dll
n32exclu.dll
naiann.dll
naievent.dll
navap32.dll
navapscr.dll
navapsvc.exe
navapw32.dll
navapw32.exe
navcfgwz.dll
navcomui.dll
naverror.dll
navevent.dll
navlcom.dll
navlnch.dll
navlogv.dll
navlucbk.dll
navntutl.dll
navoptrf.dll
navopts.dll
navprod.dll
navshext.dll
navstats.dll
navstub.exe
navtasks.dll
navtskwz.dll
navui.dll
navui.nsi
navuihtm.dll
navw32.exe
navwnt.exe
netbrext.dll
ntclient.dll
oeheur.dll
officeav.dll
opscan.exe
outscan.dll
outscres.dll
patch25d.dll
patchw32.dll
persfw.exe
pfui.dll
pfwadmin.exe
probegse.dll
programs.zap
ptchinst.dll
qconres.dll
qconsole.exe
qspak32.dll
quar32.dll
quarantine
quaropts.dat
s32integ.dll
s32navo.dll
savrt.sys
savrt32.dll
savrtpel.sys
savscan.exe
scan.dat
scandlvr.dll
scandres.dll
scanmgr.dll
scanserv.dll
sched.exe
scriptui.dll
scrpres.dll
scrpsbin.inf
scrstres.inf
sdpck32i.dll
sdsnd32i.dll
sdsok32i.dll
sdstp32i.dll
security.zap
shextbin.inf
shextres.inf
shlres.dll
ssleay32.dll
statushp.dll
symnavo.dll
tutorwiz.dll
vsagntui.dll
vsavpro.dll
vsdb.dll
vsmon.exe
vsoui.dll
vsoupd.dll
vsowow.dll
vsruledb.dll
vsvault.dll
wormres.dll
zatutor.exe
zauninst.exe
zav.zap
zl_priv.htm
zlclient.exe
zlparser.dll
zonealarm.exe
 
Информация взята с http://www.avp.ru/

Backdoor.WinCE.Brador.a  (для КПК)

Инфо старое (01.10.04), но полезное!

У владельцев КПК на платформе Windows Mobile появился серьёзный повод озаботиться обеспечением безопасности своих налодонников. Антивирусная компания «Лаборатория Касперского» сообщила об обнаружения вредоносной программы для КПК под названием Backdoor.WinCE.Brador.a, которая представляет собой утилиту удаленного администрирования (backdoor). После запуска программа размером 5632 байта создаёт свой файл с именем svhost.exe в каталоге запуска ОС и получает полное управление системой при каждом включении КПК. При наличии подключении к Интернету  WinCE.Brador.a определяет IP-адрес заражённой систему и отправляет его по электронной почте своему автору. Получив сообщение, злоумышленник знает, что поражённый КПК находится в Сети и программа удаленного управления активна.
Затем Троян открывает на КПК порт 44299 для приёма различных команд со стороны злоумышленника. В итоге хакер может получить полный контроль над подключённым к Сети КПК. Помимо функций автозагрузки и удаленного управления, программа удаляет или создаёт файлы, а так же пересылает их злоумышленнику. К счастью  Brador.a не имеет функции самораспространения и может попасть на чужой компьютер только под видом другой безобидной программы в виде вложения в электроном письме или просто файла, переданного из настольного ПК или из Интернета. 
По данным аналитиков «Лаборатории Касперского», автором WinCE.Brador.a может быть российский вирусописатель. Такой вывод сделали в связи с тем, что информация о появлении программы поступила с российского адреса электронной почты и текст сообщения был составлен на русском языке. Особые опасения борцам с вирусной угрозой внушает тот факт, что программа комерцеская0 то есть автор продаёт её всем желающим.

Обход ограничений в Microsoft IE на Windows XP SP2

Программа: Microsoft IE на Windows XP SP2 
Опасность: Высокая 

Наличие эксплоита: Нет 

Описание: 
Обнаружено несколько уязвимостей в Microsoft Internet Explorer. Удаленный атакующий может получить полный контроль над уязвимой системой. 

Удаленный атакующий может создать специальным образом злонамеренную страницу, с помощью которой он сможет загрузить и выполнить произвольный файл на уязвимой системе. Подробности неизвестны. 

URL производителя: wwwmicrosoft.com 

Решение: Решение на данный момент не существует. 

Microsoft Internet Explorer on XP SP2 Has Unspecified Flaws That Let Remote Users Bypass File Download Restrictions 
Finjan issued a press release reporting several vulnerabilities in Microsoft Windows
XP SP2. According to the report, a remote user can create a specially crafted web
page that, when loaded by the target user, will silently take full control of the 
target user's system.

> Hackers can remotely access users' local files

> Hackers can switch between Internet Explorer Security Zones to obtain rights of
> local zone

> Hackers can bypass SP2’s notification mechanism on the download and execution of
> EXE files and therefore download files without any warning or notification

Trojan.Webus.D

Trojan.Webus.D – троянская программа, которая соединяется с IRC сервером и открывает “черный ход” на скомпрометированной систме. 
При запуске Trojan.Webus.D выполняет следующие действия: 

1.Копирует себя в %System%\lsvchost.exe.

2.Создает мьютекс с названием "3586E64A-W323-121E-BFC6-083C2BF2S511", чтобы убедиться что только один Троян выполняется на скомпрометированной системе. 

3.Добавляет значения : 

".mscdr"="%System%\lsvchost.exe" 
В ключи реестра: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
4. Открывает случайный TCP порт на локальной машине и ждет входящих соединений. Может открыть прокси соединение с другим хостом. 

5. Открывает “черный ход” на 1088 TCP порту для соединения с одним из следующих IRC серверов : 

serv.gigaset.org 
gimp.robobot.org 
Затем Троян может посылать команды удаленному атакующему для выполнения ряда действий, включая скачивание и выполнение произвольных файлов.