W32/Bagle.J@mm        3 Maret 2004

"Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?"

Pada tanggal 3 maret 2004 telah muncul varian baru dari keluarga W32/Bagle, yakni @32/Bagle.J@mm, berhati-hatilah karena virus ini akan mencoba untuk menginstall sebuah program backdoor dan mencoba untuk menghentikank prose dari Antivirus yang telah terinstal dikomputer tersebut. Virus ini termasuk jenis virus email seperti kebanyakan dari varian sebelumnya, virus ini mempunyai ukuran sebesar 12288 bytes, dan di dikompres menggunakan UPX, ia akan menonaktifkan dirinya pada tanggal 25 April 2004.

Mekanisme penyebaran

Jika worm ini jalan, ia akan melakukan tindakan sbb:

  1. Mengkopikan dirinya sendiri ke direktori Windows\System dengan nama file irun4.exe

-------------------------------------------------------------------------------------------------

Catatan: %System% ini bervariasi.  C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), atau C:\Windows\System32 (Windows XP).

------------------------------------------------------------------------------------------------

  1. Membuat file dibawah ini:

%System%\irun4.exeopen: ini adalah file .zip yang diproteksi dengan password.

  1. Akan membuat registry key :

HKCU\SOFTWARE\Datetime

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ssate.exe = [SYSTEM]\irun4.exe

  1. Akan membuka port 2745, yang akan digunakan oleh backdoor

  1. Dengan menggunakan port TCP 80, akan mengirimkan HTTP GET requests kealamat

    • postertog.de
    • www.gfotxt.net
    • www.maiklibis.de
  2. Berusaha untuk menghentikan proses dibawah ini :

·        ATUPDATER.EXE

·        AVWUPD32.EXE

·        AVPUPD.EXE

·        LUALL.EXE

·        DRWEBUPW.EXE

·        ICSSUPPNT.EXE

·        ICSUPP95.EXE

·        UPDATE.EXE

·        NUPGRADE.EXE

·        ATUPDATER.EXE

·        AUPDATE.EXE

·        AUTODOWN.EXE

·        AUTOTRACE.EXE

·        AUTOUPDATE.EXE

·        AVXQUAR.EXE

·        CFIAUDIT.EXE

·        MCUPDATE.EXE

·        NUPGRADE.EXE

·        OUTPOST.EXE

·        AVLTMAIN.EXE

  1. Menyebar melalui Share/P2P

W32.Beagle.J@mm juga akan mencoba menyebar melalui file sharing, seperti Kazaa dan iMesh, kemudian akan mengkopikan dirinya kedalam folder yang berisi string “shar”  sebagai :

·        Microsoft Office 2003 Crack, Working!.exe

·        Microsoft Office XP working Crack, Keygen.exe

·        Microsoft Windows XP, WinXP Crack, working

·        Keygen.exe

·        Porno Screensaver.scr

·        Porno, sex, oral, anal cool, awesome!!.exe

·        Porno pics arhive, xxx.exe

·        Serials.txt.exe

·        Windown Longhorn Beta Leak.exe

·        Windows Sourcecode update.doc.exe

·        XXX hardcore images.exe

·        Opera 8 New!.exe

·        WinAmp 5 Pro Keygen Crack Update.exe

·        WinAmp 6 New!.exe

·        Matrix 3 Revolution English Subtitles.exe

·        Adobe Photoshop 9 full.exe

·        Ahead Nero 7.exe

·        ACDSee 9.exe

  1. Menyebar melalui Email

Mengambil semua alamat email yang terdapat dalam file yang mengandung ext. dibawah ini untuk kemudian mengirimkannya dengan dirinya dengan menggunakan SMTP engine sendiri :

·        .wab

·        .txt

·        .msg

·        .htm

·        .xml

·        .dbx

·        .mdx

·        .eml

·        .nch

·        .mmf

·        .ods

·        .cfg

·        .asp

·        .php

·        .pl

·        .adb

·        .tbb

·        .sht

·        .uin

·        .cgi

Worm ini berusaha untuk menghindari alamat e-mail yang mengandung string :

  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@
  1. Untuk mengelabui penerima, e-mail yang dikirimkan Worm ini akan datang seolah-olah dari alamat  e-mail dibawah ini :
  • management@[recipient domain]
  • administration@[recipient domain]
  • staff@[recipient domain]
  • noreply@[recipient domain]
  • support@[recipient domain]

     Subjek dari email yang dikirim bisa berupa:

  • E-mail account security warning.
  • Notify about using the e-mail account.
  • Warning about your e-mail account.
  • Important notify about your e-mail account.
  • Email account utilization warning.
  • Notify about your e-mail account utilization.
  • E-mail account disabling warning.

Body e-mail yang dikirim terdiri dari beberapa bagian:

 1. Intro:

  • Dear user of [recipient domain],
  • Dear user of [recipient domain] gateway e-mail server
  • Dear user of e-mail server "[recipient domain]
  • Hello user of [recipient domain] e-mail server,
  • Dear user of "[recipient domain]" mailing system,
  • Dear user, the management of [recipient domain] mailing system wants to let you know that,

2. Body utama:

  • Your e-mail account has been temporary disabled because of unauthorized access.
  • Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
  • Your e-mail account will be disabled because of improper using in next hree days, if you are still wishing to use it, please, resign your account information.
  • We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
  • Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software
  • Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy relay trojan server. In order to keep your computer safe, follow the instructions.

3. Informasi lainnya:

  • For more information see the attached file.
  • Further details can be obtained from attached file.
  • Advanced details can be found in attached file.
  • For details see the attach.
  • For details see the attached file.
  • For further details see the attach.
  • Please, read the attach for further details.
  • Pay attention on attached file.

4. Penutup:

  • The Management
  • Sincerely,
  • Best wishes,
  • Have a good day,
  • Cheers,

Kind regards,

The [recipient domain] team

http://www.[recipient domain]

Lampiran :

  • Attach
  • Information
  • Readme
  • Document
  • Info
  • TextDocument
  • TextFile
  • MoreInfo
  • Message

File extension yang disertakan dapat berupa EXE, PIF or ZIP.

Jika attachment yang dikirimkan berupa File ZIP, maka akan diproteksi menggunakan password dengan 5 karakter (digit), dan dalam file e-mail tersebut juga sebenarnya juga berisi satu dari beberapa pernyataan dibawah ini :

  • For security reasons attached file is password protected. The password is "[password]".
  • For security purposes the attached file is password protected. Password is "[password]"
  • Attached file protected with the password for security reasons. Password is [password].
  • In order to read the attach you have to use the following password: [password].

Daya rusak

Worm ini akan menginstall sebuah backdoor pada komputer yang terinfeksi. Ia akan memantau port 2745. backdoor ini sangat berbahaya karena digunakan untuk upload dan menjalankan program

Ia akan berusaha untuk melakukan koneksi ke alamat website :

  • http://postertog.de/scr.php
  • http://www.gfotxt.net/scr.php
  • http://www.mailklibis.de/scr.php

Worm ini juga berisi text :

"Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?"

Worm Bagle.J dan sebelumnya (W32/Bagle.A - W32/Bagle.J), W32/Netsky.A - W32/Netsky.E, W32/MyDoom.A - W32/MyDoom.F dapat dideteksi dan diremove dengan Norman Virus Control update tanggal 3 mater 2004

AJT

PT. Vaksincom

Gedung Rifa lt. 4

Jl. Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp  :021-526 0787

Fax : 021-526 -752

http://www.vaksin.com

Email  : info@vaksin.com