NUEVA VARIANTE NO CONTROLADA DE BAGLE QUE SE ESTA PROPAGANDO

[msc hotline sat]

Desde primeras horas de hoy, 29 de octubre, estamos recibiendo alertas de muschos asociados a nuestros servicios tecnicos, ante la masiva recepcion de mails de todas partes, evidentemente con remitentes falsos, con ficheros anexados sospechosos que no son detectados todavía por el antivirus.



Varias muestras de diferentes tamaños ya as hemos enviado a McAfee con caracter urgente para que hagan nuevos DAT de control )posiblemente hoy mismo saldran los 4402,) y paralelamente estamos estudiando dichas muestras que al parecer toman los iconos de fiocheros existentes en las maquina infectadas, y llegan con nombres y extensiones aleatorios, EXE. COM, SCR. etc. El contenido y el asunto del mail son variables, smiles, HI, Hello, Thank you, etc



Mucho cuidado con los mails que lleven adjuntos, hoy mas que nunca !!!



Tan pronto tengamos mas noticias las comunicaremos como respuesta a este Tema



saludos



ms, 29-10-2004

[msc hotline sat]

YA NOS HA CONTESTADO MCAFEE CON NUEVO EXTRA.DAT PARA EL CONTROL DEL BUEVO GABLE AL QUE LLAMA W32/BAGLE. BB:



___________________________________



463 178 129 179 77 51 218 128 63 28 207 210 106 95 232 32

10 52 205 179 13 51 237 91 158 52 133 243 13 51 141 230

52 15 219 18 10 246 192 23 168 150 40 254 242 50 249 48

15 51 136 86 3 223 45 26 100 247 147 204 24 56 130 4

96 227 84 190 143 52 143 209 111 250 162 76 12 39 114 178

96 125 114 77 173 207 224 178 13 50 224 178 13 51 193 183

13 82 141 182 13 92 253 214 99 51 134 179 81 64 244 192

121 86 224 128 63 111 141 169 13 96 226 213 121 68 236 193

104 111 192 218 110 65 226 192 98 85 249 239 93 82 255 210

96 64 141 156 13 96 226 213 121 68 236 193 104 111 192 218

110 65 226 192 98 85 249 239 90 90 227 215 98 68 254 239

78 70 255 193 104 93 249 229 104 65 254 218 98 93 209 225

120 2 227 179 73 51 141 179 13 112 221 179 250 51 242 178

13 50 168 50 114 48 141 178 40 178 242 177 13 50 168 50

114 55 141 178 40 178 242 177 13 178 242 178 13 178 242 179

13 178 242 176 13 50 168 50 114 51 141 178 40 178 242 182

13 50 168 50 114 49 141 178 40 178 242 177 13 50 170 50

114 50 141 178 40 178 242 179 13 178 242 178 13 178 13 179

29 49 140 142 13 50 130 184 12 51 141 51 58 48 141 175

1 51 255 184 15 51 141 51 58 48 141 175 1 51 255 184

12 51 141 51 58 49 141 175 1 51 255 142 9 50 135 179

12 18 114 198 173 64 184 177 51 51 135 179 12 45 177 179

127 13 141 145 0 50 176 183 15 60 176 183 15 1 179 179

77 4 140 179 41 35 143 193 51 51 175 190 12 14 133 177

2 14 133 177 63 13 141 243 48 55 140 151 29 49 255 194

16 13 141 145 0 50 176 191 15 60 176 191 15 1 179 179

77 4 141 179 41 35 143 193 51 51 145 241 13 65 176 179

12 1 176 191 15 60 176 191 15 1 143 140 48 51 140 188

48 63 143 129 8 54 224 122 140 76 64 177 10 51 195 180



28126 256 12651 340 W32/Bagle



114 178 129 179 77 179 218 128 63 28 207 210 106 95 232 51

15 115 141 32 10 59 205 51 77 51 14 206 242 55 28 177

12 204 114 178 121 242 155 140 15 143 42 22 168 126 195 30

67 148 229 54 87 178 12 140 206 40 111 80 64 116 14 177

13 49 76 165 13 49 222 198 154 83 26 212 154 80 250 214

170 87 42 211 170 84 42 208 122 94 128 48 15 51 142 49

10 49 239 209 43 58 114 176 25 204 140 222 67 254 143 180

13 125 138

10322 256 12651 340 W32/Bagle



_______________________________________



Como siempre los usuarios de McAfee pueden seleccionar el script entre lineas. hacer un copiar y pegar con el bloc de notas, giardandolo como EXTRA.DAT y copiandolo en la carpeta de los demás ficheros DAT de McAfee



saludos



ms, 29-10-2004

[msc hotline sat]

Cuando ya tenemos controlado el nuevo virus BAGLE.BB, y hecha la utilidad de eliminacion ELIBAGLA v 3.6 , podemos pasar a documentar algo mas este nuevo bicho:



Se propaga masivamente por e-mail con ficheros anexados con nombre price y joke, con extensiones .com, .exe. .cpl y .scr, cogiendo como icono el de un fichero de los que tiene la máquina infectada.



El contenido del mail es Thanks :) , Thank you!, Hello, Hi,



_______________





En el momento de editar este punto, nos llega ya la descripcion de McAfee al respecto:



Virus Name Risk Assessment

W32/Bagle.bb@mm Corporate User : Medium

Home User : Medium







Virus Information

Discovery Date: 10/29/2004

Origin: Unknown

Length: Varies

Type: Virus

SubType: E-mail worm

Minimum DAT: 4402 (10/29/2004)

Updated DAT: 4402 (10/29/2004)

Minimum Engine: 4.3.20

Description Added: 10/29/2004

Description Modified: 10/29/2004 3:24 AM (PT)

Description Menu

Virus Characteristics

Symptoms

Method Of Infection

Removal Instructions

Variants / Aliases

Rate This page

Print This Page

Email This Page

Legend







Virus Characteristics:

The risk assessment of this mass-mailing virus has been deemed Medium due to high prevalence. The 4402 DATs will be released early to address this threat.



In the meantime, please find the relevant EXTRA.DAT packages below:



Alternatively, the following EXTRA.DAT packages are available.

EXTRA.DAT

SUPER EXTRA.DAT



This variant of W32/Bagle bears the following characteristics:



packed with PeX

contains its own SMTP engine for constructing outgoing email messages

harvests target email addresses from the victim machine

copies itself to local folders on the victim machine (to folders containing the string 'shar')

terminates processes associated with various AV/security products

uses various mutex names selected from those W32/Netsky variants have used, in order to prevent those W32/Netsky variants running on infected machines

deletes registry entries of security programs and other worms





Top of Page



Symptoms

When executed, the worm installs itself to the victim machine with the Windows system folder as WINGO.EXE. For example:



C:\WINNT\SYSTEM32\WINGO.EXE

The following Registry key is added to hook system startup:



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Run "wingo" = C:\WINNT\SYSTEM32\WINGO.EXE

The following Registry key is also added to store data (within a "TimeKey" key):



HKEY_CURRENT_USER\Software\Params

Additionally, the virus may make multiple copies of itself in the Windows system directory, appending the string "open" to the filename. For example:



C:\WINNT\SYSTEM32\WINGO.EXEOPEN

C:\WINNT\SYSTEM32\WINGO.EXEOPENOPEN

etc



Top of Page



Method Of Infection

Mail Propagation



The virus constructs outgoing messages with its own SMTP engine. Target email addresses are harvested from the victim machine. Files with the following extensions are searched:



.wab

.txt

.msg

.htm

.shtm

.stm

.xml

.dbx

.mbx

.mdx

.eml

.nch

.mmf

.ods

.cfg

.asp

.php

.pl

.wsh

.adb

.tbb

.sht

.xls

.oft

.uin

.cgi

.mht

.dhtm

.jsp

Outgoing messages are constructed with the varying subject, message body and attachment filename.



Subject: The subject line is one of the following:



Re:

Re: Hello

Re: Thank you!

Re: Thanks :)

Re: Hi

Message Body: The message body will be one of the following:



:)

:))

Attachment: The attachment is an executable of name:



Price

price

Joke

with one of the following extensions:



.exe

.scr

.com

.cpl

The virus does not mail itself to email addresses containing the following strings:



@hotmail

@msn

@microsoft

rating@

f-secur

news

update

anyone@

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

kasp

admin

icrosoft

support

ntivi

unix

bsd

linux

listserv

certific

sopho

@foo

@iana

free-av

@messagelab

winzip

google

winrar

samples

abuse

panda

cafee

spam

pgp

@avp.

noreply

local

root@

postmaster@

P2P Propagation



The worm copies itself using enticing filenames to folders on the victim machine containing the string 'shar' . The following filenames are used:



Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

Process Termination Payload



The virus terminates the following processes if they are running on the victim machine:



mcagent.exe

mcvsshld.exe

mcshield.exe

mcvsescn.exe

mcvsrte.exe

DefWatch.exe

Rtvscan.exe

ccEvtMgr.exe

NISUM.EXE

ccPxySvc.exe

navapsvc.exe

NPROTECT.EXE

nopdb.exe

ccApp.exe

Avsynmgr.exe

VsStat.exe

Vshwin32.exe

alogserv.exe

RuLaunch.exe

Avconsol.exe

PavFires.exe

FIREWALL.EXE

ATUPDATER.EXE

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE

pavsrv50.exe

AVENGINE.EXE

APVXDWIN.EXE

pavProxy.exe

navapw32.exe

navapsvc.exe

ccProxy.exe

navapsvc.exe

NPROTECT.EXE

SAVScan.exe

SNDSrvc.exe

symlcsvc.exe

LUCOMS~1.EXE

blackd.exe

bawindo.exe

FrameworkService.exe

VsTskMgr.exe

SHSTAT.EXE

UpdaterUI.exe



Top of Page



Removal Instructions

All Users :

The specified DATs will be released early for this threat.



In the meantime, the following EXTRA.DAT packages are available.

EXTRA.DAT

SUPER EXTRA.DAT



Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).





_______________



Como se ve ya indican que la version 4402 del 29/10/04 lo controlan, lo cual indica que inminentemente va a aparecer esta nueva version

aunque con el EXTRA.DAT ya está controlado.



saludos



ms, 29-10-2004

[msc hotline sat]

YA ESTAN DISPONIBLES LOS DATS 4402





ACTUALIZAR !!!!!!!





saludos



ms, 29-10-2004

[msc hotline sat]

Siguen mas Bagles DC y BD aun no controlados:



http://vil.nai.com/vil/content/v_129510.htm



http://vil.nai.com/vil/content/v_129511.htm





Estamos recibiendo avisos de incidencias y nuevas muestras no controladas, por lo que MUCHO CUIDADO !!!



Informarse y sobre todo no ejecutar anexados a los mails !!!



saludos



ms, 29-10-2004

[msc hotline sat]

McAfee ya ha incluido la deteccion y control del novisimo BAGLE.BD, que es el último por ahora controlado, con los SDATDAILY actuales, y es posible que hoy mismo ofrezca los DAT 4403







saludos



ms, 29-10-2004

[msc hotline sat]

Finalizo este Tema con el aviso de que ya estan disponibles los DAT 4403 de McAfee que controlan hasta el Bagle.BD, y que mañana 3-11-2004 saldrán los DAT 3303 que controlarán la variante del Bagle.DLDR ya controlada heuristicamente como Bagle.DLL.gen.



saludos



ms, 2-11-2004