[VirusAlert] Bagle varianten lijken o.a. van ISP af te komen

MAJOR UPDATE: LEES DIT

Sinds een paar dagen doen nieuwe varianten de ronde.
Deze lijken o.a. van je ISP af te komen, waar een password protected zipfile bijzit, dit om het echter te laten lijken.
Dit is dus geen echt bericht van je ISP, maar een virus.
Note:De mail zal(bijna)altijd eruitzien alsof het van je eigen ISP afkomt, dus als je Demon gebruikt staat er wat over Demon in de mail, bij bijvoorbeeld @home, dus iets over @home.


Voorbeeldmail: ISP was yahoo
Subject: Email account utilization warning
Attach: Attach.zip
Message:

quote:

Dear user, the management of Yahoo.com mailing
system wants to let you know that,

Your e-mail account will be disabled because of
improper using in next
three days, if you are still wishing to use it,
please, resign your
account information.

For details see the attached file.

For security purposes the attached file is
password protected. Password is "07364".

Cheers,
The Yahoo.com team

Nogmaals: dit is een voorbeeldmail, karakteristieken kunnen dus afwijken.


Oude originele post naar onder geschoven:


We've got a spreader..
KL: Severe Risk
Symantec: Cat3
NAI: Medium

quote:

Infected emails have the following characteristics:
Message header:

ID x... thanks

with "x" being a string of random characters.
Message body:

Yours ID x
--
Thank

with "x" being a string of random characters.
Attachment:
The attachment has a random name and is 11KB in size.

A detailed description of I-Worm.Bagle.b will be available in the near future.

Wat write-ups:
http://www.viruslist.com/eng/alert.html?id=983343
http://www.f-secure.com/v-descs/bagle_b.shtml
http://vil.nai.com/vil/content/v_101030.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.alua@mm.html



Nuttige edit:
Removal tool: http://www.f-secure.com/tools/f-bagle.zip
http://www.f-secure.com/tools/f-bagle.exe

quote:

Found on 17th of February 2004, Bagle.B is a variant of the successful Bagle. As its predecessor it is mass-mailing worm. The worm sends messages with the subject 'ID [random string]... thanks' and random EXE attachment names. It also installs a backdoor. Bagle has been programmed to stop spreading on 25th of February.

Schouw wijzigde dit bericht 04-03-2004 15:13 (63%)

quote:

duponjan schreef op 17 februari 2004 @ 19:17:
Zijn die exe bestanden schadelijk (bevatten ze het virus ) en worden ze getedecteerd als virus zijnde door de antivirussen?

Welke exe bestanden?
Die bij de verzonden mail zitten?
Dat zijn replica's.

Alle vendors hebben inmiddels een update uitgebracht afaik.

quote:

Siebje schreef op 18 februari 2004 @ 10:41:
[...]


sorry, idd Bagle.b daar vroeg ik het me over af.

We gaan hier maar verder.
Dat zullen nu nog wel hele grove schattingen zijn..
Zal vanmiddag eens navragen.

quote:

LaLaLand schreef op 18 februari 2004 @ 14:53:
[...]


Zijn de exacte aantallen van besmetting niet _online beschikbaar of is dat "bedrijfsgeheim"

Waarom zouden ze bedrijfsgeheim zijn?
Als er keuze is tussen virusanalyse en wat getalletjes online zetten, gaat het eerste voor.
Net zoals KL eerst een update uitbrengt voordat ze gaan beginnen aan de write-up.
Exacte aantallen kun je natuurlijk nooit geven.

En we hebben nóg een Severe risk worm zie ik nu...
Maw: Genoeg andere dingen te doen.

quote:

wildhagen schreef op 18 februari 2004 @ 15:19:
[...]


Laat me raden: W32/NetSky.B? Damn, wat een kreng, die gaat écht loeihard. Zojuist de EXTRA.DAT van NAI geinstalleerd... McAfee gaat meteen als een gek tekeer met detecties... gaat nog sneller dan Mydoom een tijdje terug, op dit moment althans....

Yup.
[VirusAlert] Moodown.b / Netsky.B

Bagle.c is gesignaleerd.
NAI ziet het atm als een medium risk.

Voorlopige write-up: http://vil.nai.com/vil/content/v_101059.htm

_{[Bagle.c added to title]}

Edit:
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.c@mm.html
http://www.f-secure.com/v-descs/bagle_c.shtml
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.C

Nogmaals edit:
Het lijkt erop dat zo ongeveer alle vendors hebben geupdate, opvallend: NAV nog niet.
Wederom is AVG (free)sneller met de(automatische)update dan NAI/NAV, wat toch wel raar is eigenlijk.

En nog een keer!

quote: Symantec

Note: Virus definitions version 60217w (extended version 2/17/2004 rev 23) detect this sample as W32.Beagle.A@mm.

False positive die goed uitpakt deze keer.
(Dit komt niet vaak genoeg voor om geen toeval te zijn imo).

Schouw wijzigde dit bericht 28-02-2004 03:27 (88%)

Title-edit: added Bagle.d

I-Worm.Bagle.d is ITW, ben benieuwd.

quote: http://www.f-secure.com/v-descs/bagle_d.shtml

There are very few differences in the C and D variants; they have the same sizes and same functionality, and the emails sent by them are identical. Mostly the virus has been modified to avoid detection by some antivirus programs.

Lijkt populair te worden om kleine aanpassingen te doen..

quote:

D2k schreef op 28 februari 2004 @ 17:10:
[...]

aha
ik vatte het al ff niet

iig heeft trend vanacht 2 patterns gereleased, dus dan zit het verder wel snor

1 @ 1:10 onze tijd
2 @ 5:40 onze tijd

Dan neem ik aan dat die tweede was voor 'bagle.d', dan was Trend rap hiermee.

Ja gvd...

I-Worm.Bagle.e is ITW.

Title-enhancement: generic sig.

Volgens mij werken die allemaal met string-based sigs, hoewel ik het bij Sophos niet durf te zeggen.
Dit maakt het gericht ondetecteerbaar maken supereasy, maar die strings zitten(vaak)in een gedeelte wat niet wordt gepackt, waardoor zo'n AV dus weer meer kans heeft, behalve als de author daar natuurlijk ook op heeft gelet.

Deze Worm lijkt een beetje anti-KAV te zijn..
(Check maar waarnaar hij geen mail zal sturen, alleen avp wordt geblockt).

quote: http://www.f-secure.com/v-descs/bagle_e.shtml

Yet another new variant of the Bagle worm, Bagle.E was found in the wild on February 28th, 2004.

This variant is packed with PeX packer instead of UPX used by C and D variants. So the file is a bit larger.

KAV ondersteunt Pex, dus dat zou het probleem eigenlijk niet mogen zijn..
Tenzij het een modified version is.

Het kan natuurlijk ook gewoon zijn dat KAV eerder is met detectie dan de andere vendors.
Sowieso overdag is die kans redelijk groot.

Schouw wijzigde dit bericht 28-02-2004 17:59 (7%)