|
病毒特性:
Win32.Bagle.DR是一种通过电子邮件和点对点文件共享传播的蠕虫病毒。蠕虫是一个大小为19,000字节的可运行程序,存在ZIP文档中。
感染方式:
执行时,Win32.Bagle.DR拷贝自己到:
%System%\sysformat.exe
并修改以下注册表,以确保病毒副本在每次系统启动时运行:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysformat = "%System%\sysformat.exe"
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
在病毒生成邮件附件时,还会生成3个文件:
§ %System%\sysformat.exeopen
§ %System%\sysformat.exeopenopen
§ %System%\sysformat.exeopenopenopenopen
当蠕虫第一次运行时,它会运行"notepad.exe":
传播方式:
通过邮件传播
病毒邮件使用以下格式:
主题:
price
内容:
February price
发件地址是伪装的,从被感染机器上收集邮件地址。
附件名称从以下列表中选择:
price.zip
pricelst.zip
pricelist.zip
price_lst.zip
new_price.zip
February_price.zip
21_price.zip
每个ZIP附件包含一个蠕虫的副本,并附加一个没用的文件。蠕虫的EXE文件名包含5到9个小写字母,并加入".exe"后缀。第二个文件名使用同样的方法生成,只是没有扩展名。文件包含100到599个任意生成的小写字母。
例如:
new_price.zip 包含 ytdzp.exe 和 ssfzy
蠕虫在本地收集邮件地址,并使用伪装的发件地址发送病毒。蠕虫搜索以下扩展名的文件:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
蠕虫不发送包含以下字符的地址:
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
蠕虫通过自带的SMTP引擎发送病毒邮件。它会使用本地默认的DNS服务器执行MX查询,为每个收件地址找到合适的邮件服务器。如果通过本地系统无法找到DNS服务器,则会尝试使用217.5.97.137作为DNS。
以下是病毒邮件示例:
通过P2P文件共享传播
蠕虫在搜索邮件地址的时候,还会查找包含"shar"字符的目录。它使用以下文件名复制自身到每个匹配的目录中:
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
这样能够使蠕虫通过点对点文件共享传播,例如Kazaa.
危害:
删除注册表键值
蠕虫删除以下位置的下列注册表键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
My AV
ICQ Net
下载并运行任意文件
蠕虫包含一个80个URL的列表。它尝试从每个URL下载,保存到%System%\re_file.exe,并运行它。
URL在以下域:
www.cnsrvr.com
www.casinofunnights.com
www.ec.cox-wacotrib.com
www.crazyiron.ru
www.uni-esma.de
www.sorisem.net
www.varc.lv
www.belwue.de
www.thetildegroup.com
www.vybercz.cz
www.kyno.cz
www.forumgestionvilles.com
www.campus-and-more.com
www.capitalforex.com
www.capitalspreadspromo.com
www.prineus.de
www.databoots.de
www.steintrade.net
www.njzt.net
www.emarrynet.com
www.zebrachina.net
www.lxlight.com
www.yili-lighting.com
www.fachman.com
www.q-serwer.net
www.wellness-i.com
www.newportsystemsusa.com
www.westcoastcadd.com
www.wing49.cz
www.posteffects.com
www.provax.sk
www.casinobrillen.de
www.duodaydream.nl
www.finlaw.ru
www.fitdina.com
www.flashcardplayer.com
www.flox-avant.ru
www.lotslink.com
www.algor.com
www.gaspekas.com
www.ezybidz.com
www.genesisfinancialonline.com
www.georg-kuenzle.ch
www.girardelli.com
www.rodoslovia.ru
www.golden-gross.ru
www.gregoryolson.com
www.gtechna.com
www.lunardi.com
www.sgmisburg.de
www.harmony-farms.net
www.hftmusic.com
www.hiwmreport.com
www.horizonimagingllc.com
www.hotelbus.de
www.howiwinmoney.com
www.ietcn.com
www.import-world.com
www.houstonzoo.org
www.interorient.ru
www.internalcardreaders.com
www.interstrom.ru
www.iutoledo.org
www.wena.net
www.iesgrantarajal.org
www.alexandriaradiology.com
www.booksbyhunter.com
www.wxcsxy.com
www.coupdepinceau.com
www.erotologist.com
www.jackstitt.com
www.imspress.com
www.digitalefoto.net
www.josemarimuro.com
www.eversetic.com
www.curious.be
www.kameo-bijux.ru
www.karrad6000.ru
www.kaztransformator.kz
www.keywordthief.com
终止进程
蠕虫终止包含以下字符的进程:
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe
停止服务
蠕虫尝试停止Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 服务 ("SharedAccess" 服务),和 Windows XP 系统的安全中心服务("wscsvc" - Windows XP service pack 2引入)。
修改Hosts文件
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
蠕虫取代Windows host文件,将以下域改为localhost (127.0.0.1),有效的阻止用户访问:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
其它信息
蠕虫会创建下面几个互斥体:
§ MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
§ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
当病毒文件运行时,会通过这些互斥来停止其它病毒(比如netsky)的运行。它也会为自身的同步线程生成没有名字的互斥体。
| 
Win32.Bagle.DR 病毒技术资料(转)
