PDA

Visualizza versione completa : W32.Bagle.J - Allerta 4 - Update


Giorgius
03-03-2004, 09.16.15
Aliases:
W32/Bagle.j@MM (McAfee), W32.Beagle.J@mm (Symantec), WORM_BAGLE.J (Trend Micro), W32/Bagle.J (VS Antivirus), W32.Beagle.J@mm (Norman), Bagle.J (F-Secure)

Effetti:
W32.Beagle.J@mm is a mass-mailing worm that opens a backdoor on TCP port 2745 and uses its own SMTP engine to spread through email. It also sends the attacker the port on which the backdoor listens, as well as the IP address.

The email attachment is a randomly named .exe file inside a .zip file. The embedded .exe file is password-protected with a random password. The from address is spoofed to appear as though its coming from the one of the following addresses at the recipients domain: management, administration, staff, noreply, or support.

W32.Beagle.J@mm also attempts to spread across file-sharing networks, such as Kazaa and iMesh, by dropping itself into the directories that contain "shar" in their names.


Info:
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101071
http://www.vsantivirus.com/bagle-j.htm
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3654&PHPSESSID=58e65a722e655a4f607303f6fba6d15d
http://www.symantec.com/avcenter/venc/data/w32.beagle.j@mm.html


Aggiornamento AntiVirus al 03/03/04 ;)(Y)

Giorgius
03-03-2004, 09.17.44
Stinger v.2.1.0: http://download.nai.com/products/mcafee-avert/stinger.exe

Giorgius
03-03-2004, 11.10.09
(ASCA) - Roma, 3 mar - Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di aprile 2004 (3.80) di Sophos Anti-Virus. Finora Sophos non ha ricevuto alcuna segnalazione su W32/Bagle-J, un worm costituito da un file a 32 bit. Questo worm e' anche noto come W32/Bagle.j@mm. Sophos ha deciso comunque di rilasciare questo alert in seguito alle richieste giunte alla sua unita' di assistenza ai clienti. Maggiori informazioni su W32/Bagle-J sono disponibili all'indirizzo www.sophos.com/virusinfo/analyses/w32baglej.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/bagle-j.ide. Per informazioni su come usare i file Ide: www.sophos.com/downloads/ide/using.html.

Giorgius
03-03-2004, 12.32.59
(ASCA) - Roma, 3 mar - Mcafee Avert (Anti-Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, ha assegnato una valutazione di rischio media ai worm W32BAGLE.h@MM e W32BAGLE.j@MM. Bagle.h contiene un componente per l'accesso remoto e usa un proprio motore Smtp per costruire messaggi in uscita con allegato un file .Zip protetto da password. Bagle.j, invece, e' un worm che costruisce messaggi in uscita con un'estensione .Exe e .Pif o un file Zip protetto da password. Questi worm hanno le stesse caratteristiche dei precedenti Bagle, due dei quali hanno una valutazione di pericolosita' media. I laboratori Mcafee Avert hanno rilevato ieri in giornata i primi esempi dei worm, e hanno ricevuto piu' di 100 esempi di Bagle.h e decine di Bagle.j, segnalati sia dagli utenti Mcafee Security sia dal virus stesso che si e' autogenerato in tutto il mondo. La maggior parte dei virus Bagle.h e Bagle.j sono diffusi tramite lo sfruttamento degli indirizzi e non da clienti infetti. Questo e' quanto accade attualmente anche con la maggior parte dei virus, di cui le famiglie piu' pericolose sono quelle di Mydoom, Bagle e Netsky. Mcafee Avert consiglia ai propri utenti di aggiornare i sistemi con i Dat 4330 per assicurarsi la protezione contro le attuali minacce Bagle.h e con i Dat 4332 per quanto riguarda tutte le minacce di Bagle. Nel Dat 4332, inoltre, Mcafee Avert ha aggiunto una protezione ulteriore per la variante di Mydoom.g, che Avert ritiene prossima a colpire. Al momento questa variante di Mydoom e' ritenuta di livello basso di pericolosita' ma Avert ne sta osservando lo sviluppo. Ulteriori dettagli sulle minacce attualmente con livello basso di rischio sono disponibili all'indirizzo http://vil.nai.com/vil/content/v_101072.htm. I worm Bagle.h e Bagle.j sono worm Internet mass mailer che raccolgono gli indirizzi da file locali, che poi utilizzano per inviarsi inserendoli nel campo ''From'' dei messaggi e-mail. In questo modo il ricevente non e' in grado di visualizzare il mittente reale. Il worm quindi attiva il componente di accesso remoto del virus, che ''ascolta'' la porta Tcp 2745 alla ricerca di connessioni remote. Gli utenti devono cancellare immediatamente qualsiasi messaggio che contiene quanto segue: From: (l'indirizzo e' falsificato) Subject: ^_^ meay-meay!; E-mail account security warning; ^_^ mew-mew (-: Notify about using the e-mail account; Hey, dude, it's me ^_^; Warning about your e-mail account; Argh, i don't like the plaintext; Important notify about your e-mail account; I don't bite, weah!; Email account utilization warning; Looking forward for a response :P; Notify about your e-mail account utilization; E-mail account disabling warning. Corpo del messaggio: Greeting - Dear user of /(user's domain)/; Dear user of /(user's domain)/gateway e-mail server; Dear user of e-mail server''/(user's domain)/ ''; Hello user of /(user's domain)/ e-mail server; Dear user of ''/(user's domain)/ '' mailing system; Dear user, the management of /(user's domain)/ mailing system wants to let you know that. Una volta eseguiti, il worm Bagle.h si autoinvia come file .Zip protetto da password, dove la password e' inclusa nel corpo del messaggio, mentre il worm Bagle.j si autoinvia agli indirizzi trovati sul sistema infetto come .Exe, .Pif o anch'esso come archivio .Zip protetto da password, con password inclusa nel corpo del messaggio. Il virus quindi utilizza la porta Tcp 2745 alla ricerca di connessioni remote che tentano di avvisare l'autore del virus che il sistema infetto e' pronto ad accettare comandi, contattando diversi siti web, richiamando uno script Php sui siti remoti. In particolare, il worm Bagle.h contatta ogni 27,8 ore i siti web http://postertog.de/scr.php, www.gfotxt.net/scr.php e www.maiklibis.de/scr.php. Come i loro predecessori, questi worm controllano la data del sistema: il worm bagle.h smette di propagarsi se la data corrisponde al 25 marzo 2005 o successivi, mentre il worm bagle.j diventa inattivo a partire dal 25 aprile 2005 o successivi. Informazioni aggiuntive e le cure per questi worm sono disponibili sul sito Network Associates Mcafee Avert agli indirizzi http://vil.nai.com/vil/content/v_101068.htm (bagle.h) e http://vil.nai.com/vil/content/v_101071.htm (bagle.j).

RNicoletto
05-03-2004, 11.10.16
Gotcha ! (http://62.101.68.209/forum/showthread.php?s=&postid=594780#post594780) ;)


SALUDOS Y BESOS !!!